Программа Apple по вознаграждению за обнаружение уязвимостей доступна избранным исследователям безопасности уже почти год, но, согласно новому отчету Motherboard, большинство исследователей предпочитают не делиться уязвимостями с Apple из-за низких выплат. Больше денег можно получить от сторонних источников за уязвимости в программном обеспечении Apple.

«Люди могут получить больше денег, если продадут свои находки другим», — сказал Никкиас Бассен, исследователь безопасности компании Zimperium, который присоединился к программе Apple в прошлом году. «Если вы делаете это только ради денег, вы не будете сообщать [об уязвимостях] напрямую Apple».

Motherboard поговорил с несколькими участниками программы Apple по вознаграждению за обнаружение уязвимостей на условиях анонимности. Абсолютно каждый из них сказал, что еще не сообщил об уязвимости Apple и не знает никого, кто бы это сделал. По словам Патрика Уордла, исследователя Synack и бывшего хакера АНБ, приглашенного в программу вознаграждений в прошлом году, уязвимости iOS «слишком ценны, чтобы сообщать о них Apple».

Apple впервые представила свою программу вознаграждений за обнаружение уязвимостей в августе 2016 года на конференции Black Hat, ежегодном глобальном мероприятии по информационной безопасности. Apple предлагает вознаграждения до 200 000 долларов в зависимости от уязвимости. Компоненты безопасной загрузки прошивки приносят до 200 000 долларов, в то время как за менее значительные уязвимости, такие как доступ из изолированного процесса к пользовательским данным за пределами «песочницы», можно получить 25 000 долларов.