Apple платит огромные деньги за найденные уязвимости, но не всегда исправляет их

Пт 10 Сентябрь 2021 10:17

Компания Apple уже пять лет поддерживает программу вознаграждения за поиск уязвимостей, предлагая до $1 млн за наиболее опасные проблемы. Однако многие ИБ-эксперты высказывают недовольство тем, что компания исправляет уязвимости с задержкой и не всегда выплачивает адекватное вознаграждение. В целом, считают исследователи, замкнутый подход Apple только вредит программе и ставит под угрозу безопасность, пишет The Washington Post.

Apple запустила программу bug bounty в 2016 году и до 2019 года она была закрытой. По словам, главы отдела разработки средств безопасности в Apple Айвана Крстича (Ivan Krstic), в этом году компания выплатила сумму вознаграждений вдвое превышающую сумму в минувшем году и лидирует по средней сумме вознаграждения за уязвимость.

Однако, опрошенные TWP исследователи не согласны с этим утверждением. По их словам аналогичные программы Facebook, Microsoft и Google более открыты и предоставляют больше ресурсов, чтобы привлечь более широкую аудиторию экспертов. К тому же, многие из них платят больше, чем Apple.

Например, в 2020 году в рамках программы вознаграждения Microsoft выплатила исследователя в общей сложности $13,6 млн, Google - $6,7 млн. Apple на эти цели потратила $3,7 млн.

Кроме того, Apple не вдается в подробности, почему решила платить или не платить за ту или иную уязвимость, говорят источники. При этом компания копит уязвимости, которые так и остаются неисправленными. Из-за такого подхода многие исследователи не сообщают Apple о найденных проблемах, предпочитая продавать их правительственным ведомствам или компаниям, разрабатывающим хакерские инструменты.

По словам Крстича, Apple намерена улучшить подход к программе вознаграждения, быстрее реагировать на сообщения исследователей, а также добавить новые поощрения.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 310 дней 22 минуты 24 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.