Nowe badanie przeprowadzone przez Atlas VPN ujawniło, że Apple zapewnia najwyższą wypłatę nagród bug bounty badaczom za znajdowanie i zgłaszanie luk w zabezpieczeniach oprogramowania na swoich urządzeniach. W porównaniu do Samsunga, nagrody za bug bounty firmy Apple są 5 razy wyższe niż u jego rywali.
Ale nawet wtedy gigant technologiczny z Cupertino spotyka się z krytyką ze strony programistów lub badaczy bezpieczeństwa za to, że nie uznają swoich odkryć i nie płacą nagród.
Apple wypłaca najwyższe nagrody za błędy od 100 000 do 1 miliona dolarów badaczom za znalezienie exploitów
Zgodnie z raport, gigant technologiczny z Cupertino może zapłacić do 1 miliona dolarów za odkrycie wykorzystuje luki w swoich urządzeniach, co stanowi doskonałą zachętę dla badaczy bezpieczeństwa do poszukiwania luk w systemach operacyjnych oprogramowania Apple. Huawei płaci drugą najwyższą kwotę w nagrodach bug bounty, do 223 tysięcy dolarów za exploity w swojej Galerii AppGallery, usługach w chmurze lub samych telefonach. A Samsung zajmuje trzecie miejsce z wypłatami do 13 tysięcy dolarów za exploity.
Apple płaci od 100 tysięcy do 1 miliona dolarów badaczom, którzy znajdą exploity na swoich urządzeniach. Nasz raport z początku roku wykazał, że luki w produktach Apple wzrosły o ponad 450%. Program bug bounty firmy Huawei oferuje wypłaty od 200 USD do 223 000 USD za znalezione luki w ich urządzeniach. Program bug bounty firmy Samsung nagradza badaczy od 200 do 200 000 USD za zakwalifikowane exploity, w zależności od poziomu ważności, jakości raportu o lukach w zabezpieczeniach, zakresu, którego dotyczy problem, oraz trudności ataków. Płatności Xiaomi bounty wahają się od 800 do 13 000 USD za znalezione luki w zabezpieczeniach i mają specjalną nagrodę Hacker Leaderboard, dla hakera, który zdobył najwięcej nagród w programie Xiaomi. OnePlus i Oppo, oba należące do BBK Electronics, programy bug bounty mogą nagradzać badaczy odpowiednio do 7 000 USD i 4 000 USD. Program LG bug bounty oferuje rekompensatę w wysokości do 4,2 tys. USD w zależności od wagi luki w zabezpieczeniach.
Jednak kilku badaczy bezpieczeństwa zarejestrowanych w programie Apple Security Bounty (ASB) wyraziło niezadowolenie i frustrację z zarządzania programem. Badacze skarżą się, że firma potrzebuje miesięcy, aby odpowiedzieć na zgłoszone luki w zabezpieczeniach, a czasami łata wykryte luki bez uznania łowcy błędów i przyznania należnej nagrody.
To zachowanie było widoczne w przypadku programisty Denisa Tokarev, który odkrył cztery exploity dnia zerowego. Apple załatał iOS 14.7 bez przyznania mu uznania, a kiedy upublicznił pozostałe trzy exploity w iOS 15, firma powierzchownie przeprosiła, że zrobiła to samo później. W aktualizacji iOS 15.0.2 firma naprawiła exploita zero-day w grach, nie dając Tokarevowi kredytów i nagród pieniężnych. Do naprawienia pozostały jeszcze dwa exploity, które zostały przesłane w okresie od marca do maja 2021 r.
Niektórzy niezadowoleni zastanawiali się również nad sprzedażą exploitów takim dostawcom, jak HackerOne, Zero Day Initiative lub trzeci-stroną, którą mogą być firmy takie jak NSO, twórca oprogramowania szpiegującego Pegasus do hakowania urządzeń iPhone i Android.
