การศึกษาใหม่โดย Atlas VPN เปิดเผยว่า Apple ให้ผลตอบแทนสูงสุดในการให้รางวัล Bug Bounty แก่นักวิจัยในการค้นหาและรายงานช่องโหว่ของซอฟต์แวร์ในอุปกรณ์ต่างๆ เมื่อเปรียบเทียบกับ Samsung แล้ว เงินรางวัลบั๊กของ Apple นั้นมากกว่าคู่แข่งถึง 5 เท่า
แต่ถึงอย่างนั้น ยักษ์ใหญ่ด้านเทคโนโลยีของ Cupertino ก็ถูกวิพากษ์วิจารณ์จากนักพัฒนาหรือนักวิจัยด้านความปลอดภัยว่าไม่ให้เครดิตกับการค้นพบของพวกเขาและไม่จ่ายรางวัลให้
Apple จ่ายรางวัลบั๊กสูงสุดจาก 100,000 ถึง 1 ล้านดอลลาร์ให้กับนักวิจัยเพื่อค้นหาช่องโหว่
ตาม report ยักษ์ใหญ่ด้านเทคโนโลยีของ Cupertino สามารถจ่ายเงินสูงถึง 1 ล้านดอลลาร์สำหรับการค้นพบ หาช่องโหว่ในอุปกรณ์ของตนซึ่งเป็นแรงจูงใจที่ดีสำหรับนักวิจัยด้านความปลอดภัยในการตามล่าหาช่องโหว่ในระบบปฏิบัติการซอฟต์แวร์ของ Apple Huawei จ่ายเงินรางวัลค่าหัวจุดบกพร่องมากเป็นอันดับสองถึง 223,000 ดอลลาร์สำหรับการหาช่องโหว่ใน AppGallery บริการคลาวด์ หรือโทรศัพท์เอง และ Samsung อยู่ในอันดับที่สามด้วยการจ่ายเงินสูงถึง $13,000 สำหรับการหาช่องโหว่
Apple จ่ายตั้งแต่ $100K ถึง $1 ล้านให้กับนักวิจัยที่พบช่องโหว่ในอุปกรณ์ของตน รายงานของเราในช่วงต้นปีพบว่าช่องโหว่ในผลิตภัณฑ์ Apple เพิ่มขึ้นกว่า 450% โปรแกรมหาจุดบกพร่องของ Huawei เสนอการจ่ายเงินจาก $200 ถึง $223K สำหรับช่องโหว่ที่พบในอุปกรณ์ของพวกเขา โปรแกรม Bug Bounty ของ Samsung ให้รางวัลแก่นักวิจัยระหว่าง $200 ถึง $200K สำหรับช่องโหว่ที่ผ่านการรับรอง โดยขึ้นอยู่กับระดับความรุนแรง คุณภาพของรายงานช่องโหว่ ขอบเขตที่ได้รับผลกระทบ และความยากของการโจมตี การจ่ายเงินรางวัลของ Xiaomi มีตั้งแต่ $800 ถึง $13,000 สำหรับช่องโหว่ที่พบและมีรางวัลพิเศษสำหรับ Hacker Leaderboard สำหรับแฮ็กเกอร์ที่ได้รับเงินรางวัลมากที่สุดในโปรแกรมของ Xiaomi OnePlus และ Oppo ซึ่งทั้งคู่เป็นเจ้าของโดย BBK Electronics โปรแกรมหาบั๊กสามารถให้รางวัลแก่นักวิจัยได้มากถึง $7K และ $4K ตามลำดับ โปรแกรม LG Bug Bounty เสนอการชดเชยสูงถึง $4.2K ตามความรุนแรงของช่องโหว่ด้านความปลอดภัย
อย่างไรก็ตาม นักวิจัยด้านความปลอดภัยหลายคนที่ลงทะเบียนกับโปรแกรม Apple Security Bounty (ASB) ได้แสดงความไม่พอใจและไม่พอใจกับการจัดการโปรแกรม นักวิจัยบ่นว่าบริษัทใช้เวลาหลายเดือนในการตอบสนองต่อช่องโหว่ที่ส่งมา และบางครั้งแก้ไขช่องโหว่ที่ค้นพบโดยไม่ต้องให้เครดิตผู้ล่าข้อบกพร่องและให้รางวัลตามสมควร
พฤติกรรมนี้เห็นได้ชัดในกรณีของนักพัฒนา Denis Tokarev ผู้ค้นพบการโจมตีซีโร่เดย์สี่ครั้ง Apple ได้ทำการแพตช์บน iOS 14.7 โดยไม่ได้ให้เครดิตกับเขา และเมื่อเขาเผยแพร่สู่สาธารณะพร้อมกับช่องโหว่อีก 3 รายการที่เหลือใน iOS 15 บริษัทได้ขอโทษอย่างผิวเผินเพื่อทำแบบเดียวกันในภายหลัง ในการอัปเดต iOS 15.0.2 บริษัทได้แก้ไขช่องโหว่ในการเล่นเกมโดยไม่ให้เครดิต Tokarev และรางวัลเงินสด การหาช่องโหว่เพิ่มเติมอีก 2 รายการยังคงต้องได้รับการแก้ไข โดยการส่งหาช่องโหว่ดังกล่าวถูกส่งในช่วงเดือนมีนาคม-พฤษภาคม 2021
ผู้ที่ไม่พอใจบางคนได้ไตร่ตรองถึงการขายการหาช่องโหว่ให้กับผู้ขาย เช่น HackerOne, Zero Day Initiative หรือบุคคลที่สาม-บุคคลที่อาจเป็นบริษัทเช่น NSO ผู้สร้างสปายแวร์ Pegasus เพื่อแฮ็กอุปกรณ์ iPhone และ Android
