| 6 июля 2017 г. — 16:45 PT
Новый отчет Motherboard сегодня углубляется в детали программы Apple по вознаграждению за ошибки — инициативы, которую компания запустила в прошлом году в надежде стимулировать исследователей безопасности сообщать о «высокоценных» ошибках в обмен на деньги. Однако сегодняшний отчет объясняет, что программа не развивается так быстро, как надеялась Apple…
На момент анонса Apple подробно описала максимальные выплаты в рамках своей программы вознаграждений:
- Безопасная загрузка прошивки: 200 000 долларов США
- Извлечение конфиденциальных материалов, защищенных процессором Secure Enclave Processor: 100 000 долларов США
- Выполнение произвольного кода с привилегиями ядра: 50 000 долларов США
- Несанкционированный доступ к данным учетной записи iCloud на серверах Apple: 50 000 долларов США
- Доступ из изолированного процесса к пользовательским данным вне этой песочницы: 25 000 долларов США
Однако отчет Motherboard объясняет, что Apple платит исследователям далеко не достаточно, поскольку они могут получить значительно больше от сторонних компаний. Кроме того, если исследователи сообщат об обнаруженных ошибках, это может помешать им проводить дальнейшие исследования.
«Люди могут получить больше денег, если продадут свои ошибки другим», — сказал Никкиас Бассен, специалист по безопасности компании Zimperium, который присоединился к программе Apple в прошлом году. «Если вы делаете это только ради денег, вы не будете давать [ошибки] напрямую Apple».
Кроме того, в отчете отмечается, что восемь охотников за ошибками заявили, что не отправляли сообщения об ошибках в программу вознаграждений Apple, и сами исследователи не знают никого, кто бы что-либо отправлял в Apple.
Apple просто, похоже, не платит исследователям достаточно за ошибки. Motherboard сообщает, что на текущем «сером» рынке такие компании, как Zerodium, покупают эксплойты у исследователей и продают их своим клиентам, предлагая 1,5 миллиона долларов за метод, «состоящий из нескольких ошибок, которые могут совершить джейлбрейк iPhone». Другая компания, Exodus Intelligence, предлагает около 500 000 долларов за аналогичные эксплойты.
И Zerodium, и Exodus Intelligence утверждают, что продают только корпорациям, правоохранительным органам и разведывательным агентствам.
В отчете также отмечается, сколько усилий Apple приложила к своей программе вознаграждений за ошибки: приглашение известных исследователей в Купертино на закрытые встречи и переговоры, только для того, чтобы программа дала сбой:
Apple предлагала исследователям сотрудничество с компанией, присоединившись к программе вознаграждений за ошибки. Сотрудники службы безопасности Apple проводили презентации, приглашали исследователей на ужин и давали им возможность пообщаться и обсудить свою работу. По словам двух источников, присутствовавших на встрече, даже Крейг Федериги, старший вице-президент Apple по разработке программного обеспечения, сделал неожиданное появление, чтобы встретиться с исследователями.
Остается увидеть, планирует ли Apple какие-либо изменения в своей программе вознаграждений за ошибки. Однако в текущем состоянии программы исследователи ищут другие источники выплат. Ознакомьтесь с полным отчетом Motherboard, чтобы получить более глубокое представление о программе.
Заходите на 9to5Mac в YouTube, чтобы узнать больше новостей об Apple!