Um novo estudo da Atlas VPN revelou que a Apple faz o maior pagamento em recompensas de bugs para pesquisadores por encontrar e relatar vulnerabilidades de software em seus dispositivos. Em comparação com a Samsung, as recompensas de recompensas de bugs da Apple são 5x mais do que seus rivais.
Mas mesmo assim, a gigante de tecnologia de Cupertino enfrenta críticas de desenvolvedores ou pesquisadores de segurança por não creditar suas descobertas e não pagar as recompensas.
A Apple paga as recompensas mais altas de recompensas por bugs, de US$ 100 mil a US$ 1 milhão, a pesquisadores para encontrar exploits
De acordo com relatório, a gigante de tecnologia de Cupertino pode pagar até US $ 1 milhão por descoberta explora em seus dispositivos, o que é um grande incentivo para os pesquisadores de segurança caçarem vulnerabilidades nos sistemas operacionais de software da Apple. A Huawei paga o segundo maior valor em recompensas de bugs de até US$ 223 mil por explorações em sua AppGallery, serviços em nuvem ou nos próprios telefones. E a Samsung está em terceiro lugar com pagamentos de até US$ 13 mil por exploits.
A Apple paga de US$ 100 mil a US$ 1 milhão para pesquisadores que encontram exploits em seus dispositivos. Nosso relatório do início do ano descobriu que as vulnerabilidades nos produtos da Apple aumentaram mais de 450%. O programa de recompensas por bugs da Huawei oferece pagamentos de US$ 200 a US$ 223 mil para vulnerabilidades encontradas em seus dispositivos. O programa de recompensas de bugs da Samsung recompensa pesquisadores entre US$ 200 e US$ 200 mil por explorações qualificadas, dependendo do nível de gravidade, qualidade do relatório de vulnerabilidade, escopo afetado e dificuldade dos ataques. Os pagamentos de recompensas da Xiaomi variam de US $ 800 a US $ 13 mil para vulnerabilidades encontradas e tem uma recompensa especial do Hacker Leaderboard, para o hacker que ganhou mais recompensas no programa da Xiaomi. OnePlus e Oppo, ambos de propriedade da BBK Electronics, os programas de recompensas por bugs podem recompensar os pesquisadores com até US$ 7 mil e US$ 4 mil, respectivamente. O programa de recompensas de bugs da LG oferece compensação de até US$ 4,2 mil com base na gravidade da vulnerabilidade de segurança.
No entanto, vários pesquisadores de segurança registrados no programa Apple Security Bounty (ASB) expressaram insatisfação e frustração com o gerenciamento do programa. Os pesquisadores reclamam que a empresa leva meses para responder às vulnerabilidades enviadas e, às vezes, corrige as vulnerabilidades descobertas sem dar crédito ao caçador de bugs e dar a devida recompensa.
Esse comportamento ficou evidente no caso do desenvolvedor Denis Tokarev que descobriu quatro explorações de dia zero. A Apple corrigiu o iOS 14.7 sem dar crédito a ele e quando ele veio a público com as três explorações restantes no iOS 15, a empresa pediu desculpas superficialmente para fazer o mesmo mais tarde. Na atualização do iOS 15.0.2, a empresa corrigiu uma exploração de dia zero do jogo sem conceder crédito e recompensas em dinheiro a Tokarev. Mais duas explorações ainda precisam ser corrigidas, as explorações foram enviadas entre março e maio de 2021.
Alguns descontentes também ponderaram sobre a venda das explorações para fornecedores como HackerOne, Zero Day Initiative ou terceiros-parte que poderia ser empresas como a NSO, criadora do spyware Pegasus para hackear dispositivos iPhone e Android.
