Apple biedt een bug bounty-programma dat is ontworpen om beveiligingsonderzoekers te betalen voor het ontdekken en rapporteren van kritieke bugs in Apple-besturingssystemen, maar onderzoekers zijn niet blij met de manier waarop het werkt of de uitbetalingen van Apple in vergelijking met andere grote technologiebedrijven. De Washington Post .
je Apple ID wordt gebruikt
In interviews met meer dan twee dozijn beveiligingsonderzoekers, De Washington Post een aantal klachten verzameld. Apple is traag met het oplossen van bugs en betaalt niet altijd uit wat verschuldigd is.
Apple betaalde in 2020 $ 3,7 miljoen uit, ongeveer de helft van de $ 6,7 miljoen die Google aan onderzoekers betaalde, en veel minder dan de $ 13,6 miljoen die Microsoft betaalde. Terwijl andere bedrijven zoals Facebook, Microsoft en Google de aandacht vestigen op beveiligingsonderzoekers die grote bugs vinden en conferenties houden en middelen verstrekken om een breed scala aan deelnemers aan te moedigen, doet Apple dat niet.
Beveiligingsonderzoekers zeiden dat Apple de feedback beperkt over welke bugs een premie zullen ontvangen, en voormalige en huidige Apple-medewerkers zeiden dat er een 'enorme achterstand' is van bugs die nog moeten worden aangepakt.
De onwil van Apple om meer open te zijn tegenover beveiligingsonderzoekers heeft sommige onderzoekers ontmoedigd om gebreken aan Apple te verstrekken, waarbij die onderzoekers ze in plaats daarvan verkopen aan klanten zoals overheidsinstanties of bedrijven die hackdiensten aanbieden.
Ivan Krstić, hoofd Beveiligingstechniek en Architectuur van Apple, vertelde: De Washington Post dat Apple vindt dat het programma een succes is geweest, en dat Apple het bedrag dat het in 2020 aan bug bounties heeft betaald, verdubbeld heeft ten opzichte van 2019. Apple is echter nog steeds bezig het programma op te schalen en zal in de toekomst nieuwe beloningen aanbieden.
'We zijn ook van plan om nieuwe beloningen voor onderzoekers in te voeren om de deelname aan het programma te blijven uitbreiden, en we blijven wegen onderzoeken om nieuwe en nog betere onderzoekstools aan te bieden die voldoen aan ons rigoureuze, toonaangevende platformbeveiligingsmodel.'
Luta Security-oprichter Katie Moussouris vertelde: De Washington Post dat de slechte reputatie van Apple bij de beveiligingsgemeenschap in de toekomst zou kunnen leiden tot 'minder veilige producten' en 'meer kosten'.
Appels bug bounty programma belooft beloningen variërend van $ 100.000 tot $ 1.000.000, en Apple voorziet sommige onderzoekers ook van speciale iPhones voor beveiligingsonderzoek. Deze iPhones zijn minder vergrendeld dan consumentenapparaten en zijn ontworpen om het gemakkelijker te maken om kwetsbaarheden en zwakke punten in de beveiliging op te sporen.
Sam Curry, een beveiligingsonderzoeker die in 2020 met Apple samenwerkte, zei dat hij Apple feedback heeft gegeven en dat hij het gevoel heeft dat het bedrijf weet hoe het wordt gezien en 'probeert vooruit te komen'. Volgens De Washington Post , heeft Apple dit jaar een nieuwe leider aangenomen voor het bug bounty-programma, dus het zou snel wat verbeteringen kunnen zien.
Populaire Berichten