Apple мало платит за найденные в iOS уязвимости
Хакеры продают уязвимости направо и налево, но только не Apple
Летом прошлого года Apple запустила специальную программу для разработчиков, хакеров и исследователей безопасности, в рамках которой те могут получать деньги за уязвимости, найденные в программном обеспечении компании. Прошел год, а за это время никто так ни разу и не сообщил о «дырах» в безопасности. Журналисты Motherboard считают, что все из-за расценок Apple и некоторых других причин.
Компания предлагает исследователям от 25 до 200 тыс. долларов за обнаруженный в iOS баг, но сторонние фирмы платят намного больше. Exodus Intelligence и Zerodium, которые покупают информацию об уязвимостях на сером рынке и продают своим клиентам, выкладывают за iOS эксплойты от 500 тыс. до 1,5 млн долларов. Такие суммы мотивируют куда лучше.
Еще одна причина, по которой хакеры и исследователи не спешат сотрудничать с Apple, связана со сложностью поиска уязвимостей в iOS. Чтобы найти один баг в прошивке, у исследователя часто должен быть другой, а сообщать о тех дырах в безопасности, которые помогают тебе работать и зарабатывать деньги — глупо.
В 2016 году исследователей приглашали в штаб-квартиру Apple, рассказывали о преимуществах сообщения об уязвимостях напрямую в компанию и обещали помогать. В то же время, когда хакеры попросили выдать им несколько iPhone с отключенной «песочницей» и рядом других функций безопасности, чтобы находить баги было легче, получили отказ.
Похоже, Apple не знает, как сотрудничать с исследователями безопасности и как их правильно мотивировать. Вот почему никто не бежит в Купертино сообщать об уязвимостях.
Рекомендуемые статьи:
✅ Подписывайтесь на нас в Telegram, ВКонтакте, и Яндекс.Дзен.