Apple, compensi troppo bassi per il Bug Bounty?

I compensi del Bug Bounty Program di Apple sono troppo bassi, gli sviluppatori preferirebbero vendere falle a terzi: ecco l'indagine di Motherboard.
I compensi del Bug Bounty Program di Apple sono troppo bassi, gli sviluppatori preferirebbero vendere falle a terzi: ecco l'indagine di Motherboard.
Marco Grigis
Pubblicato il 7 lug 2017
Apple, compensi troppo bassi per il Bug Bounty?

Qualche anno fa Apple ha lanciato il suo Bug Bounty Program, un’iniziativa rivolta ad alcuni selezionati developer per la ricerca di bug e falle all’interno dei software targati mela morsicata. Un programma che offre un premio in denaro, suddiviso per categorie, a seconda della gravità del problema rilevato: lo scopo è garantire sempre la massima sicurezza per iOS e macOS. In questi giorni, tuttavia, è montata online una polemica: i compensi offerti da Cupertino sarebbero troppo bassi, tanto che per gli sviluppatori potrebbe risultare più conveniente rivendere le falle scovate a terzi.

Apple ha introdotto il suo

[!] Ci sono problemi con l'autore. Controllare il mapping sull'Author Manager
lo scorso anno, nel corso dell’annuale conferenza Black Hat, con premi dai 25.000 ai 200.000 dollari, a seconda della gravità della vulnerabilità rilevata. Delle cifre che non sarebbero tuttavia sufficientemente allettanti per la comunità dell’hacking, poiché soggetti terzi sarebbero inclini al pagamento di somme più consistenti. Lo sostiene Nikias Bassen, un ricercatore esperto in sicurezza per la compagnia Zimperium, all’interno di una serie di interviste condotte da Motherboard su alcuni degli sviluppatori e degli esperti di hacker del momento:

Possono ottenere più denaro se vendono i loro bug ad altri. Se lo fai solo per il denaro, non consegnerai i bug direttamente ad Apple.

Secondo quanto rivelato da Motherboard, che ha interrogato diversi partecipanti al Bug Bounty Program di Apple mantenendo il loro anonimato, al momento nessuno sarebbe riuscito a scovare falle rilevanti nei

[!] Ci sono problemi con l'autore. Controllare il mapping sull'Author Manager
targati mela morsicata, tali da ottenere una ricompensazione. Degli intervistati, sembra che nessuno abbia riportato, o conosca qualcuno che l’abbia fatto, delle vulnerabilità direttamente a Cupertino.

Secondo Patrick Wardle, ricercatore di Synack e precedentemente esperto per la NSA, il panorama già tratteggiato da Bassen potrebbe risultare decisamente credibile, nonché un deterrente per l’interazione diretta con la società californiana:

I bug di iOS hanno troppo valore per poter essere segnalati ad Apple.

Al momento, Apple non ha commentato ufficialmente le interviste pubblicate da Motherboard, né sono previste a oggi modifiche sulle compensazioni offerte ai partecipanti.

Ti consigliamo anche

Mac mini M4 in offerta: tecnologia e potenza a 999 euro
Apple

Mac mini M4 in offerta: tecnologia e potenza a 999 euro
MacBook Air 13 M4: design, potenza e autonomia in sconto su Amazon
Apple

MacBook Air 13 M4: design, potenza e autonomia in sconto su Amazon
Apple Magic Mouse: il top di gamma nel settore a prezzo ribassato
Apple

Apple Magic Mouse: il top di gamma nel settore a prezzo ribassato
Apple Mac Mini con chip M4 a 130€ in meno: offerta bomba su Amazon
Apple

Apple Mac Mini con chip M4 a 130€ in meno: offerta bomba su Amazon
Link copiato negli appunti