Säkerhet: Apple uppdaterar också sitt Bounty-program "frustrerande" för forskare

0 Shares

Apples säkerhetsbonusprogram har inte varit särskilt populärt bland forskare på länge. Initiativet lanserades 2016 och uppmuntrar människor att hitta kryphål i Apples program och system i utbyte mot ekonomiska belöningar, vars belopp varierar beroende på svårighetsgraden av den upptäckta buggen. Enligt Washington Post, många klagar dålig kommunikation (för långsam?) eller till och med mottagna sena betalningar, vilket skulle skada både hållbarhet program- och produktsäkerhet.

Illustration: Säkerhet  : Apple sätter & agrave;  uppdatera sitt bonusprogram, för

Katie Moussouris, VD för Luta Security – som hjälpte till att lansera ett liknande program för det amerikanska försvarsdepartementet – säger att det till och med skulle vara mest frustrerande för forskare. De kanske inte längre lockas att delta. Du måste ha en sund intern funktion för denna typ av rapportering innan du har ett säkerhetspremieprogram. Vad tror du händer om någon rapporterar en bugg som du redan kände till men inte fixade? Eller peka ut något som kommer att ta 500 dagar att fixa?

Andra problem finns på nivån för beloppen och Apples suveräna uppskattning. Således är företaget tänkt att ge upp till 100 000 $ för sårbarheter och utnyttjande som tillåter angripare att få obehörig åtkomst till känslig data. Men i verkligheten skulle det vara snålare. Tidningen nämner flera exempel, inklusive fallet med Cedric Owens. Den senare upptäckte en sårbarhet 2021, som kunde ha gjort det möjligt för angripare att kringgå säkerhetsmekanismerna i Mac. Efter att ha rapporterat och rättat skulle han bara ha fått 5 000 dollar, även om denna brist – enligt forskarvärlden – kunde ha medgett tillgång till känsliga uppgifter. Vad ska man avskräcka mer än en …

I ett uttalande sa Ivan Krstić, chef för ingenjörs- och säkerhetsarkitektur på Apple, att bounty-programmet hittills har varit en skenande framgång och att Apple arbetade hårt för att få det att utvecklas. Företaget har tydligen anställt en ny ledare för sitt bonusprogram i syfte att reformera det. Den här personen skulle arbeta under Krstićs order. Det återstår att se om den framkallade utvecklingen kommer att falla i smaken för utvecklare och andra felforskare.

0 Shares