Apple предлагает программу вознаграждений за поиск уязвимостей (bug bounty program), которая призвана платить исследователям безопасности за обнаружение и сообщение о критических ошибках в операционных системах Apple. Однако, по сообщениям The Washington Post, исследователи недовольны тем, как она работает, и размером выплат по сравнению с другими крупными технологическими компаниями.
В интервью с более чем двумя десятками исследователей безопасности The Washington Post собрала ряд жалоб. Apple медленно исправляет ошибки и не всегда выплачивает причитающиеся суммы.
В 2020 году Apple выплатила 3,7 миллиона долларов, примерно половину от 6,7 миллиона долларов, выплаченных Google исследователям, и гораздо меньше, чем 13,6 миллиона долларов, выплаченных Microsoft. В то время как другие компании, такие как Facebook, Microsoft и Google, отмечают исследователей безопасности, находящих серьезные ошибки, проводят конференции и предоставляют ресурсы для привлечения широкого круга участников, Apple этого не делает.
Исследователи безопасности заявили, что Apple ограничивает обратную связь относительно того, за какие ошибки будут выплачены вознаграждения, а бывшие и нынешние сотрудники Apple сообщили о «массивном отставании» в исправлении ошибок, которые еще предстоит устранить.
Нежелание Apple быть более открытой с исследователями безопасности отталкивает некоторых из них от предоставления информации об уязвимостях Apple; вместо этого эти исследователи продают их таким клиентам, как государственные учреждения или компании, предлагающие услуги по взлому.
Глава отдела безопасности инжиниринга и архитектуры Apple Иван Крстич заявил The Washington Post, что Apple считает программу успешной, и что Apple удвоила сумму выплат по программе вознаграждений за поиск уязвимостей в 2020 году по сравнению с 2019 годом. Однако Apple по-прежнему работает над масштабированием программы и в будущем предложит новые вознаграждения.
«Мы также планируем ввести новые вознаграждения для исследователей, чтобы расширить участие в программе, и продолжаем изучать пути предоставления новых и еще лучших инструментов для исследований, которые соответствуют нашей строгой, лидирующей в отрасли модели безопасности платформы.»
Основатель Luta Security Кэти Муссурис заявила The Washington Post, что плохая репутация Apple в сообществе специалистов по безопасности может в будущем привести к «менее безопасным продуктам» и «большим затратам».
Программа вознаграждений Apple за поиск уязвимостей bug bounty program обещает вознаграждения в диапазоне от 100 000 до 1 000 000 долларов, а Apple также предоставляет некоторым исследователям специальные iPhone для исследований безопасности. Эти iPhone имеют меньше ограничений, чем потребительские устройства, и разработаны для облегчения обнаружения уязвимостей и слабых мест в системе безопасности.
Сэм Карри, исследователь безопасности, работавший с Apple в 2020 году, заявил, что предоставил обратную связь Apple и чувствует, что компания осведомлена о своем имидже и «пытается двигаться вперед». По данным The Washington Post, Apple в этом году наняла нового руководителя программы вознаграждений за поиск уязвимостей, поэтому в ближайшее время можно ожидать некоторых улучшений.
