Разочарованные исследователи безопасности рассказывают о программе Apple bug bounty

article thumbnail

Программа Apple bug bounty разочаровывает сообщество исследователей безопасности жалобами на плохое общение, путаницу с платежами и многое другое.

Программа, которая была впервые запущена в 2016 году, приглашает этических хакеров и исследователей безопасности искать недостатки в аппаратном и программном обеспечении Apple в обмен на вознаграждение. В 2019 году Apple открыла программу вознаграждений для всех исследователей.

По данным The Washington Post, многие исследователи считают, что медленное реагирование Apple на исправление ошибок, задержки в платежах или коммуникациях, а также «замкнутая культура» вредит как программе, так и безопасности устройств Apple в целом.

Например, бывший и нынешний сотрудник Apple сказал, что технический гигант Купертино имеет огромное количество ошибок, которые ему еще предстоит исправить. Генеральный директор Luta Security Кэти Муссурис, которая помогла запустить программу поощрения ошибок Министерства обороны США, говорит, что это расстраивает тех, кто обнаруживает проблемы и сообщает о них компании.

«У вас должен быть работоспособный внутренний механизм исправления ошибок, прежде чем вы сможете попытаться создать работоспособную программу выявления уязвимостей», — сказал Муссурис. «Что, по вашему мнению, произойдет, если они сообщат об ошибке, о которой вы уже знали, но не исправили? Или если они сообщат о чем-то, на исправление которой у вас уйдет 500 дней?»

По словам исследователей, существуют и другие проблемы, связанные с тем, сколько Apple платит за вознаграждения. Например, программа Apple платит до 100 000 долларов за уязвимости и эксплойты, которые позволяют злоумышленникам получить «несанкционированный доступ к конфиденциальным данным».

Ранее в 2021 году исследователь Седрик Оуэнс обнаружил уязвимость, которая могла позволить злоумышленникам обойти механизмы безопасности Mac. Он сообщил об этом недостатке Apple, которая исправила ошибку, но заплатила Оуэнсу всего 5 000 долларов. И это несмотря на то, что он и другие исследователи считают, что это могло позволить доступ к «конфиденциальным данным».

Оуэнс сказал, что он, скорее всего, продолжит сообщать об ошибках в Apple, хотя другие исследователи могут этого не делать. Это может привести к «еще большему количеству зияющих дыр в процессах Apple и их продуктах».

Некоторые исследователи считают, что Apple слишком медленно проводит выплаты. Сэм Карри, который месяцами взламывал Apple с командой исследователей, обнаружил множество уязвимостей в цифровой инфраструктуре компании. Карри и его команда в конечном итоге получили 50 000 долларов в качестве оплаты.

Однако Карри считает, что Apple знает, что ее репутация в индустрии исследований в области безопасности может быть шаткой.

«Я думаю, они знают, как их видят в сообществе, и они пытаются двигаться вперед», — сказал Карри.

Есть также проблема секретности Apple. Это прямо контрастирует с хакерской культурой, которая считает открытый и свободный поток информации одной из своих основных ценностей.

«Неудивительно, что они не приняли эту культуру исследователей общественной безопасности до недавнего времени, когда их рука была вынуждена запустить программу поощрения ошибок», — сказал Джей Каплан, основатель краудсорсинговой исследовательской компании Synack.

Из-за его репутации исследователи не сообщали об ошибках в Apple. Вместо этого «они ходили на конференции по безопасности, публично говорили об этом и продавали на черном рынке», — сказал Каплан.

По крайней мере, один инженер iOS, Тянь Чжан, сказал, что Apple проигнорировала один из его отчетов об ошибке и не выплачивала плату за уязвимость, несмотря на то, что компания исправила ее.

«Это смешанное чувство. С одной стороны, как инженер, вы хотите убедиться, что продукты, которые вы создаете, безопасны для других», — сказал Чжан. «С другой стороны, похоже, что Apple думает, что люди, сообщающие об ошибках, раздражают, и они хотят отговорить людей делать это».

Несмотря на программу bug bounty, существуют также процветающие серый и черный рынки уязвимостей iOS. Эксплойты для платформ Apple могут принести до 2 миллионов долларов, что немного меньше, чем 2,5 миллиона долларов за аналогичные недостатки Android.

Иван Крстич, глава отдела безопасности Apple, охарактеризовал программу вознаграждений как «безудержный успех». Однако, отвечая на вопрос о случае, когда исследователь безопасности не получил вознаграждение за обнаруженную им уязвимость, Кристич сказал, что Apple работает над исправлением таких ошибок.

«Когда мы делаем ошибки, мы усердно работаем над их быстрым исправлением и учимся на них, чтобы быстро улучшать программу», — сказал Крстич.

Соцсети