Cybersäkerhetsforskare är missnöjda med Apples bug-bounty-program, som enligt uppgift har en enorm eftersläpning av oparpade buggar. Apple lanserade sitt bug-bounty-program 1, men öppnade det för allmänheten först XNUMX. Programmet har flera belöningsnivåer, upp till XNUMX miljon euro för de allvarligaste sårbarheterna. Baserat på kommentarer från specialister på området och även anonyma säkerhetsforskare rapporterar nu Washington Post att företaget inte har något gott rykte inom säkerhetsbranschen. "Det är ett bugg-bounty-program där huset alltid vinner", säger Katie Moussouris, VD och skapare av Luta Security, till The Washington Post.
Säkerhet okänslig
Som ett exempel på Apples uppenbara ignorering av säkerhetsforskare, citerar Washington Article exemplet med Cedric Owens som skickade in ett fel som kunde ha utnyttjats för att tillåta hackare att installera skadlig programvara på Mac-datorer, även om de kringgår säkerhetsåtgärder från Apple. Även om säkerhetsspecialister sa att felet satte Mac-användare "i allvarlig fara", betalade Apple Owens XNUMX XNUMX dollar för hans problem. Detta är förvånansvärt överraskande med tanke på att det finns en aktiv mörk webbmarknad som är villig att betala mycket pengar för sådana sårbarheter. Moussouris tror att Apples inställning till bug-bounty-programmet kommer att leda till "mindre säkra produkter för sina kunder och högre kostnader i framtiden." Det är inte så svårt att förstå med tanke på den senaste Pegasus-spywareskandalen, som följdes av nyheten om ännu en klickfri attack mot de senaste iPhone-enheterna.
Pågående arbete
Apple kallar dock sitt program för en "ostoppbar framgång" i ett officiellt uttalande och säger att företaget är ledande i branschen när det gäller det genomsnittliga beloppet per bonus. När det gäller totala bonusar som tilldelats, sägs det i rapporten att medan Apple spenderade 7 miljoner euro 7, betalade Google XNUMX miljoner euro samma år, medan Microsoft delade ut bonusar värda XNUMX, . ., XNUMX miljoner euro under tolvmånadersperioden från juli. två tusen tjugo. Ivan Krstic, Apples chef för ingenjörs- och säkerhetsarkitektur, kallade företagets bug bounty-program ett pågående arbete, och berättade om de olika sätten företaget arbetar för att utöka programmet samtidigt som de minskar återhämtningstiderna, svar och förbättrar kommunikationen.
Uppdatering: En talesperson för Apple försvarade sitt bug-bounty-program och delade följande uttalande med TechRadar Pro: "Jämfört med resten av branschen växer Apple Security Bounty-programmet snabbare och betalar mer per belöning och per användare än andra program. . Redan innan lanseringen av vårt program tog stora industriprogram ännu mer än tre år för att nå 7 miljoner euro i årliga betalningar. Apple Security Bounty betalade forskare nästan dubbelt så mycket, XNUMX miljoner dollar, under det första året som ett offentligt program. Via Washington-artikeln