В прошлом году Apple запустила программу bug bounty, предложив специалистам по безопасности и хакерам до $200,000, если они обнаружат баги в iOS. Но программа потерпела неудачу после того, как специалисты и хакеры отказались сообщать Apple о багах, т.к. они оказались слишком ценными.
Сгущает краски в этой ситуации тот факт, что многие мелкие компании платят за раскрытие багов iOS больше, чем сама Apple. Zerodium, например, предлагает до миллиона долларов за раскрытие уязвимостей iOS.
«Люди могут зарабатывать больше на продаже своих багов другим», – говорит специалист по безопасности компании Zimperium Никиас Бассен, который присоединился к программе Apple в прошлом году. «Если вы занимаетесь этим только ради денег, то не станете сообщать о багах Apple напрямую».
Когда Apple запустила свою программу bug bounty, она пригласила многих известных и надежных специалистов, а также взломщика Лукаса Тодеско. Они прилетели в штаб-квартиру в Купертино, и там команда по безопасности представила им презентацию о том, почему они должны присоединиться к программе. Они даже встретились с Крейгом Федериги, вице-президентом по разработке программного обеспечения Apple. Но даже несмотря на это у специалистов оставались сомнения.
Дело не только в деньгах. Из-за того, что iOS хорошо защищена, им пришлось бы получить доступ к нескольким уязвимостям нулевого дня и багам, чтобы как-то их исследовать. Из-за этого многие специалисты просто не стали рассказывать об обнаруженных багах. Во время вышеупомянутой встречи с Apple многие из них попросили команду безопасности предоставить им телефоны iPhone без некоторых настроек защиты. Но Apple им отказала.
Есть вероятность, что некоторые специалисты предоставили обнаруженные баги Apple в рамках программы, но не стали оглашать об этом публично. Но даже если это и так, программа bug bounty от Apple стала провальной, так как компания очевидно недооценила ценность багов iOS.
Комментарии