Appleは、Appleオペレーティングシステムの重大なバグを発見して報告するためにセキュリティ研究者に支払うように設計されたバグ報奨金プログラムを提供していますが、研究者は他の主要なハイテク企業と比較して、その動作やAppleの支払いに満足していません。 ワシントンポスト 。
AppleWatchはiPhoneのロックを解除しません
20人以上のセキュリティ研究者へのインタビューで、 ワシントンポスト 多くの苦情を集めました。 Appleはバグの修正に時間がかかり、借りているものを常に支払うとは限らない。
Appleは2020年に370万ドルを支払いました。これは、Googleが研究者に支払った670万ドルの約半分であり、Microsoftが支払った1360万ドルよりはるかに少ない金額です。 Facebook、Microsoft、Googleなどの他の企業は、主要なバグを見つけて会議を開き、幅広い参加者を奨励するためのリソースを提供するセキュリティ研究者を強調していますが、Appleはそうしていません。
セキュリティ研究者は、Appleはどのバグが報奨金を受け取るかについてのフィードバックを制限していると述べ、元および現在のApple従業員は、まだ対処されていないバグの「大量のバックログ」があると述べた。
Appleがセキュリティ研究者に対してよりオープンになりたがらないため、一部の研究者はAppleに欠陥を提供することを思いとどまらせ、代わりに政府機関やハッキングサービスを提供する企業などの顧客に欠陥を販売しています。
Appleのセキュリティエンジニアリングおよびアーキテクチャの責任者であるIvanKrstićは次のように語った。 ワシントンポスト Appleはプログラムが成功したと感じており、Appleは2020年に2019年と比較してバグ報奨金で支払った金額を2倍にした。しかし、Appleはまだプログラムの拡大に取り組んでおり、将来的に新しい報酬を提供する予定である。
「また、プログラムへの参加を拡大し続けるために、研究者に新しい報酬を導入することを計画しています。また、業界をリードする厳格なプラットフォームセキュリティモデルを満たす、新しくてさらに優れた研究ツールを提供するためのパスを調査し続けています。」
LutaSecurityの創設者であるKatieMoussourisは次のように語っています。 ワシントンポスト Appleのセキュリティコミュニティに対する評判の低さは、将来、「安全性の低い製品」と「より多くのコスト」につながる可能性があるということです。
りんご バグバウンティプログラム は$ 100,000から$ 1,000,000の範囲の報酬を約束し、Appleはセキュリティ研究専用の特別なiPhoneを一部の研究者に提供しています。これらのiPhoneは、消費者向けデバイスよりもロックダウンが少なく、セキュリティの脆弱性や弱点を簡単に発見できるように設計されています。
2020年にAppleと協力したセキュリティ研究者のSamCurryは、Appleにフィードバックを提供し、Appleがその見方を認識しており、「前進しようとしている」と感じていると語った。によると ワシントンポスト 、Appleは今年、バグバウンティプログラムの新しいリーダーを採用したので、すぐにいくつかの改善が見られるでしょう。
人気の投稿