Apple oferuje program bug bounty, którego celem jest płacenie badaczom bezpieczeństwa za wykrywanie i zgłaszanie krytycznych błędów w systemach operacyjnych Apple, ale badacze nie są zadowoleni z jego działania lub wypłat Apple w porównaniu z innymi dużymi firmami technologicznymi, raporty Washington Post .
jak aplikacja znajduje moich znajomych?
W wywiadach z ponad dwudziestoma badaczami bezpieczeństwa, Washington Post zebrał szereg skarg. Apple powoli naprawia błędy i nie zawsze wypłaca należne kwoty.
Apple w 2020 roku wypłacił 3,7 miliona dolarów, czyli około połowy z 6,7 miliona dolarów, które Google wypłacił naukowcom i znacznie mniej niż 13,6 miliona dolarów, które zapłacił Microsoft. Podczas gdy inne firmy, takie jak Facebook, Microsoft i Google, zwracają uwagę na badaczy bezpieczeństwa, którzy znajdują poważne błędy i organizują konferencje oraz udostępniają zasoby, aby zachęcić szerokie grono uczestników, Apple tego nie robi.
Badacze bezpieczeństwa powiedzieli, że Apple ogranicza opinie na temat tego, które błędy otrzymają nagrodę, a byli i obecni pracownicy Apple stwierdzili, że istnieje „ogromne zaległości” błędów, które nie zostały jeszcze rozwiązane.
Niechęć Apple do otwartości w kontaktach z badaczami bezpieczeństwa zniechęciła niektórych badaczy do dostarczania luk Apple, ponieważ ci badacze zamiast tego sprzedają je klientom, takim jak agencje rządowe lub firmy oferujące usługi hakerskie.
Szef działu inżynierii bezpieczeństwa i architektury Apple, Ivan Krstić, powiedział Washington Post że Apple uważa, że program odniósł sukces i że Apple podwoił kwotę, którą zapłacił w ramach nagród za błędy w 2020 r. W porównaniu z 2019 r. Apple nadal jednak pracuje nad skalowaniem programu i zaoferuje nowe nagrody w przyszłości.
„Planujemy również wprowadzenie nowych nagród dla naukowców, aby nadal zwiększać udział w programie, i nadal badamy ścieżki, aby oferować nowe, jeszcze lepsze narzędzia badawcze, które spełniają nasz rygorystyczny, wiodący w branży model bezpieczeństwa platformy”.
Katie Moussouris, założycielka Luta Security, powiedziała Washington Post że słaba reputacja Apple w społeczności zajmującej się bezpieczeństwem może w przyszłości prowadzić do „mniej bezpiecznych produktów” i „większych kosztów”.
Jabłka program nagród za błędy obiecuje nagrody w wysokości od 100 000 do 1 000 000 USD, a Apple zapewnia również niektórym badaczom specjalne iPhone'y przeznaczone do badań nad bezpieczeństwem. Te iPhone'y są mniej zablokowane niż urządzenia konsumenckie i zostały zaprojektowane tak, aby ułatwić wykrywanie luk w zabezpieczeniach i słabych punktów.
Sam Curry, badacz bezpieczeństwa, który współpracował z Apple w 2020 roku, powiedział, że przekazał firmie Apple opinie i że czuje, że firma zdaje sobie sprawę z tego, jak jest postrzegana i „próbuje iść naprzód”. Według Washington Post , Apple w tym roku zatrudniło nowego lidera programu bug bounty, więc wkrótce może nastąpić kilka ulepszeń.
Popularne Wiadomości