Apple Ziņas

Drošības pētnieki nav apmierināti ar Apple Bug Bounty programmu

Ceturtdiena, 2021. gada 9. septembris, 11:00 PDT, autors Jūlijs Āboliņš

Apple piedāvā kļūdu novēršanas programmu, kas paredzēta, lai samaksātu drošības pētniekiem par Apple operētājsistēmu kritisku kļūdu atklāšanu un ziņošanu par tām, taču pētnieki nav apmierināti ar tās darbību vai Apple izmaksām salīdzinājumā ar citiem lielākajiem tehnoloģiju uzņēmumiem, ziņo. The Washington Post .



Apple mūzikas ģimenes plāns vs spotify

Apple ierīču drošības kļūda bounty mac iphone ipad
Intervijās ar vairāk nekā diviem desmitiem drošības pētnieku, The Washington Post savāca vairākas sūdzības. Apple lēni izlabo kļūdas un ne vienmēr maksā to, kas ir parādā.

Apple 2020. gadā izmaksāja 3,7 miljonus ASV dolāru, kas ir aptuveni puse no 6,7 miljoniem ASV dolāru, ko Google samaksāja pētniekiem, un daudz mazāk nekā 13,6 miljonus ASV dolāru, ko Microsoft samaksāja. Kamēr citi uzņēmumi, piemēram, Facebook, Microsoft un Google, izceļ drošības pētniekus, kas atrod lielas kļūdas un rīko konferences un nodrošina resursus, lai iedrošinātu plašu dalībnieku loku, Apple to nedara.





Drošības pētnieki teica, ka Apple ierobežo atgriezenisko saiti par to, kuras kļūdas saņems atlīdzību, un bijušie un esošie Apple darbinieki teica, ka ir “milzīgs kļūdu skaits”, kas vēl ir jānovērš.

Apple nevēlēšanās būt atvērtākam ar drošības pētniekiem, ir atturējusi dažus pētniekus no Apple nepilnību atklāšanas, jo tie pārdod tos klientiem, piemēram, valsts aģentūrām vai uzņēmumiem, kas piedāvā uzlaušanas pakalpojumus.

Apple drošības inženierijas un arhitektūras vadītājs Ivans Krstičs pastāstīja The Washington Post ka Apple uzskata, ka programma ir bijusi veiksmīga, un ka Apple ir dubultojis summu, ko tā maksāja par kļūdu kompensācijām 2020. gadā, salīdzinot ar 2019. gadu. Tomēr Apple joprojām strādā, lai palielinātu programmu, un nākotnē piedāvās jaunas atlīdzības.

'Mēs arī plānojam ieviest jaunus atlīdzības pētniekiem, lai turpinātu paplašināt dalību programmā, un mēs turpinām pētīt ceļus, lai piedāvātu jaunus un vēl labākus pētniecības rīkus, kas atbilst mūsu stingrajam, nozarē vadošajam platformas drošības modelim.'

pastāstīja Luta Security dibinātāja Keitija Musūrisa The Washington Post Apple sliktā reputācija drošības aprindās nākotnē var radīt 'mazāk drošus produktus' un 'lielākas izmaksas'.

Apple kļūdu atlīdzības programma sola atlīdzību no 100 000 līdz 1 000 000 USD, un Apple dažiem pētniekiem nodrošina arī īpašus iPhone tālruņus, kas paredzēti drošības pētījumiem. Šie iPhone tālruņi ir mazāk bloķēti nekā patērētāju ierīces, un tie ir izstrādāti, lai atvieglotu drošības ievainojamību un vājo vietu atklāšanu.

Sems Karijs, drošības pētnieks, kurš strādāja ar Apple 2020. gadā, sacīja, ka ir sniedzis atsauksmes Apple un ka viņam šķiet, ka uzņēmums apzinās, kā tas tiek redzēts, un 'mēģina virzīties uz priekšu'. Saskaņā ar The Washington Post , Apple šogad nolīga jaunu vadītāju kļūdu atlīdzības programmai, tāpēc drīzumā varētu redzēt dažus uzlabojumus.