Apple のバグ報奨金プログラムはセキュリティ研究コミュニティを苛立たせており、コミュニケーション不足や支払いに関する混乱などに関する苦情が寄せられています。
2016年に初めて開始されたこのプログラムは、報奨金と引き換えにAppleのハードウェアとソフトウェアの欠陥を発見するよう倫理的なハッカーやセキュリティ研究者を招待する。 2019 年、Apple は報奨金制度を次の対象者に向けて開始しました。研究者の皆さん。
によるとワシントン・ポスト, 多くの研究者は、バグ修正に対する Apple の対応の遅さ、支払いや通信の遅れ、そして「閉鎖的な文化」が原因であると考えています。傷ついているプログラムと Apple デバイスのセキュリティ全体の両方。
たとえば、Apple の元従業員と現在の従業員は両方とも、このクパチーノのテクノロジー巨人にはまだパッチを当てていない膨大なバグが残っていると述べました。国防総省のバグ報奨金プログラムの立ち上げに協力した Luta Security の CEO、Katie Moussouris 氏は、問題を見つけて会社に報告する人々をイライラさせていると語ります。
「健全なバグ脆弱性開示プログラムを導入する前に、健全な内部バグ修正メカニズムを構築する必要がある」とムスーリス氏は述べた。 「あなたがすでに知っていたのに修正していないバグが報告されたら、何が起こると思いますか? あるいは、修正するのに 500 日かかるものを報告されたら、どうなると思いますか?」
研究者らによると、Appleが報奨金として支払う額には他にも問題があるという。たとえば、Apple のプログラムは、攻撃者が「機密データへの不正アクセス」を可能にする脆弱性やエクスプロイトに対して、最大 10 万ドルを支払います。
2021年初め、研究者のセドリック・オーエンズ氏は、脆弱性を発見しましたこれにより、攻撃者が Mac のセキュリティ メカニズムを回避できるようになっていた可能性があります。彼はその欠陥を Apple に報告し、Apple はバグを修正したが、オーエンス氏に支払ったのは 5,000 ドルだけだった。同氏や他の研究者らは、これによって「機密データ」へのアクセスが可能になった可能性があると考えているにもかかわらずだ。
オーエンズ氏は、他の研究者はそうしないかもしれないが、今後も Apple にバグを提出する可能性が高いと述べた。そうなると、「Appleのプロセスと製品にさらに大きな穴が開く」可能性がある。
研究者の中には、Apple の支払いが遅すぎると考えている人もいます。研究者チームとともに数カ月かけて Apple をハッキングしたサム カリー氏は、同社のデジタル インフラストラクチャに多数の脆弱性を発見しました。カリーと彼のチームは最終的に50,000ドルの支払い。
しかし、カリー氏は、Apple はセキュリティ研究業界における自社の評判が不安定になる可能性があることを知っていると信じています。
「彼らは地域社会で自分たちがどのように見られているかを認識しており、前進しようとしていると思う」とカリーは語った。
Apple の秘密主義の文化の問題もあります。これは、オープンで自由な情報の流れを核となる価値観の 1 つとするハッカー文化とはまったく対照的です。
クラウドソーシングのセキュリティ調査会社 Synack の創設者である Jay Kaplan 氏は、「彼らがバグ報奨金プログラムの立ち上げを余儀なくされたつい最近まで、この公安研究者文化を受け入れなかったのは不思議ではありません」と述べた。
その評判のため、研究者は Apple にバグを報告していませんでした。その代わりに、「彼らはセキュリティ会議に出席し、それについて公に話し、闇市場で販売していた」とカプラン氏は語った。
少なくとも iOS エンジニアの 1 人である Tian Zhang 氏は、Apple がバグ報告の 1 つを無視し、同社が脆弱性を修正したにもかかわらず、脆弱性に対する対価を支払わなかったと述べた。
「複雑な気持ちです。エンジニアとしては、自分が作っている製品が他の人にとって安全であることを確認したいという側面もあります」とチャン氏は語った。 「その一方で、Apple は人々がバグを報告することを迷惑だと考えており、人々がバグを報告することを思いとどまらせたいと考えているようです。」
バグ報奨金プログラムにもかかわらず、iOS の脆弱性を対象とした活発なグレー マーケットやブラック マーケットも存在します。 Apple のプラットフォームを悪用した場合、最高 200 万ドルの取引が行われる可能性があり、同様の Android の欠陥の 250 万ドルよりわずかに低くなります。
Appleのセキュリティエンジニアリング責任者であるIvan Krstic氏は、この報奨金プログラムを「大成功」と評した。しかし、発見した欠陥に対して報奨金を受け取らなかったセキュリティ研究者の事例について質問されたとき、クリスティク氏は、アップルはそのような失敗を修正するために取り組んだと述べた。
「間違いを犯した場合、私たちはそれを迅速に修正するために懸命に努力し、そこから学んでプログラムを迅速に改善します」とクルスティック氏は語った。