Apple платит огромные деньги за найденные уязвимости, но не всегда исправляет их
Компания Apple уже пять лет поддерживает программу вознаграждения за поиск уязвимостей, предлагая до $1 млн за наиболее опасные проблемы. Однако многие ИБ-эксперты высказывают недовольство тем, что компания исправляет уязвимости с задержкой и не всегда выплачивает адекватное вознаграждение. В целом, считают исследователи, замкнутый подход Apple только вредит программе и ставит под угрозу безопасность, пишет The Washington Post.
Apple запустила программу bug bounty в 2016 году и до 2019 года она была закрытой. По словам, главы отдела разработки средств безопасности в Apple Айвана Крстича (Ivan Krstic), в этом году компания выплатила сумму вознаграждений вдвое превышающую сумму в минувшем году и лидирует по средней сумме вознаграждения за уязвимость.
Однако, опрошенные TWP исследователи не согласны с этим утверждением. По их словам аналогичные программы Facebook, Microsoft и Google более открыты и предоставляют больше ресурсов, чтобы привлечь более широкую аудиторию экспертов. К тому же, многие из них платят больше, чем Apple.
Например, в 2020 году в рамках программы вознаграждения Microsoft выплатила исследователя в общей сложности $13,6 млн, Google - $6,7 млн. Apple на эти цели потратила $3,7 млн.
Кроме того, Apple не вдается в подробности, почему решила платить или не платить за ту или иную уязвимость, говорят источники. При этом компания копит уязвимости, которые так и остаются неисправленными. Из-за такого подхода многие исследователи не сообщают Apple о найденных проблемах, предпочитая продавать их правительственным ведомствам или компаниям, разрабатывающим хакерские инструменты.
По словам Крстича, Apple намерена улучшить подход к программе вознаграждения, быстрее реагировать на сообщения исследователей, а также добавить новые поощрения.