Skip to main content

Исследование показывает, что Apple может платить в 5 раз больше, чем Samsung, за обнаруженную уязвимость в своей программе вознаграждения за обнаружение ошибок. Тем не менее, компания из Купертино по-прежнему сталкивается с жалобами от исследователей, причем некоторые говорят, что Apple не отдала им должное за обнаруженную ошибку нулевого дня.

Исследование, проведенное Atlas VPN, показывает, что Apple платит от 100 000 до 1 000 000 долларов исследователям, которые находят эксплойты в их сервисе, в то время как программа вознаграждения за ошибки Samsung вознаграждает исследователей от 200 до 200 000 долларов за квалифицированные эксплойты.

Huawei, с другой стороны, предлагает выплаты от 200 до 224 тысяч долларов за найденные уязвимости в своих устройствах.

В Atlas VPN говорят, что данные основаны на общедоступной информации о том, сколько самые крупные компании-производители телефонов и других электронных устройств платят за найденные уязвимости в своих устройствах.

atlas-vpn-apple-pays-samsung-bug-bounty-program- 9to5mac

Хотя Apple платит больше, чем Samsung или другие компании, показанные выше, ее программа вознаграждения за обнаружение ошибок не является бесспорной. В 2017 году исследователи жаловались на низкие выплаты за открытия. В 2021 году Apple наняла нового лидера для реформирования своей программы вознаграждений за обнаружение ошибок, поскольку исследователи в области безопасности почувствовали, что она «сыта по горло».

В то время The Washington Post опубликовала примечательную историю от Тянь Чжана, инженера-программиста iOS, который утверждал, что отправил в Apple несколько ошибок и так и не получил оплаты:

Тянь Чжан, инженер-программист iOS, впервые сообщил об ошибке в Apple в 2017 году. После нескольких месяцев ожидания, когда Apple исправит ошибку, Чжан потерял терпение и решил написать в блоге о своем открытии. Во второй раз, когда он сообщил об уязвимости в системе безопасности, он сказал, что Apple исправила ее, но проигнорировала его. В июле Чжан отправил в Apple еще одну ошибку, за которую, по его словам, можно было получить вознаграждение. Программное обеспечение было быстро исправлено, но вознаграждения Чжан не получил. Вместо этого его исключили из программы Apple Developer Program. Членство в программе необходимо для того, чтобы иметь возможность отправлять приложения в App Store. Apple не прокомментировала обвинения Чжана.

Через несколько дней после этого отчета также опубликовал еще одну историю о другом исследователе, который поделился своим опытом, утверждая, что Apple не отдала им должное за один недостаток нулевого дня, о котором они сообщили, который был исправлен, и что было еще три уязвимости нулевого дня. в iOS 15 в то время.

Вы когда-нибудь сообщали об ошибке или уязвимости в Apple, и если да, то отвечала ли компания? Поделитесь своими мыслями в разделе комментариев ниже.