Apple, compensi troppo bassi per il Bug Bounty?

I compensi del Bug Bounty Program di Apple sono troppo bassi, gli sviluppatori preferirebbero vendere falle a terzi: ecco l'indagine di Motherboard.
Apple, compensi troppo bassi per il Bug Bounty?
I compensi del Bug Bounty Program di Apple sono troppo bassi, gli sviluppatori preferirebbero vendere falle a terzi: ecco l'indagine di Motherboard.

Qualche anno fa Apple ha lanciato il suo Bug Bounty Program, un’iniziativa rivolta ad alcuni selezionati developer per la ricerca di bug e falle all’interno dei software targati mela morsicata. Un programma che offre un premio in denaro, suddiviso per categorie, a seconda della gravità del problema rilevato: lo scopo è garantire sempre la massima sicurezza per iOS e macOS. In questi giorni, tuttavia, è montata online una polemica: i compensi offerti da Cupertino sarebbero troppo bassi, tanto che per gli sviluppatori potrebbe risultare più conveniente rivendere le falle scovate a terzi.

Apple ha introdotto il suo Bug Bounty Program lo scorso anno, nel corso dell’annuale conferenza Black Hat, con premi dai 25.000 ai 200.000 dollari, a seconda della gravità della vulnerabilità rilevata. Delle cifre che non sarebbero tuttavia sufficientemente allettanti per la comunità dell’hacking, poiché soggetti terzi sarebbero inclini al pagamento di somme più consistenti. Lo sostiene Nikias Bassen, un ricercatore esperto in sicurezza per la compagnia Zimperium, all’interno di una serie di interviste condotte da Motherboard su alcuni degli sviluppatori e degli esperti di hacker del momento:

Possono ottenere più denaro se vendono i loro bug ad altri. Se lo fai solo per il denaro, non consegnerai i bug direttamente ad Apple.

Secondo quanto rivelato da Motherboard, che ha interrogato diversi partecipanti al Bug Bounty Program di Apple mantenendo il loro anonimato, al momento nessuno sarebbe riuscito a scovare falle rilevanti nei software targati mela morsicata, tali da ottenere una ricompensazione. Degli intervistati, sembra che nessuno abbia riportato, o conosca qualcuno che l’abbia fatto, delle vulnerabilità direttamente a Cupertino.

Secondo Patrick Wardle, ricercatore di Synack e precedentemente esperto per la NSA, il panorama già tratteggiato da Bassen potrebbe risultare decisamente credibile, nonché un deterrente per l’interazione diretta con la società californiana:

I bug di iOS hanno troppo valore per poter essere segnalati ad Apple.

Al momento, Apple non ha commentato ufficialmente le interviste pubblicate da Motherboard, né sono previste a oggi modifiche sulle compensazioni offerte ai partecipanti.

Ti consigliamo anche

Link copiato negli appunti