セキュリティ研究者は、Apple がバグ報奨金に十分な金額を支払っていないと考えている

Apple のバグ報奨金プログラムは、ほぼ 1 年前から一部のセキュリティ研究者を対象に 提供されています が、 Motherboard の新しいレポートによると、ほとんどの研究者は報酬が低いため Apple とバグを共有することを好まないそうです。 Apple ソフトウェアのバグに対して、サードパーティの情報源からより多くの資金を得ることができます。

「人々は自分のバグを他人に売れば、より多くの現金を手に入れることができる」と、Zimperium社のセキュリティ研究者であり、昨年Appleのプログラムに参加したニキアス・バッセン氏は語る。 「お金のためだけにやっているのであれば、Apple に直接（バグを）提供するつもりはないでしょう。」

Motherboard は 匿名を条件に Apple のバグ報奨金プログラムのメンバー数名に話を聞いた。誰もが、まだ Apple にバグを報告していないし、報告した人を知らないと述べた。昨年のバグ報奨金プログラムに招待された Synack 研究者で元 NSA ハッカーの Patrick Wardle 氏は、iOS のバグは「Apple に報告するには価値が高すぎる」と述べています。

Apple は、2016 年 8 月に毎年開催される世界的な InfoSec イベントである Black Hat Conference で初めてバグ報奨金プログラムを導入しました。 Apple は脆弱性に応じて最大 20 万ドルの報奨金を提供しています。セキュア ブート ファームウェア コンポーネントはハイエンドで 200,000 ドルを獲得しますが、サンドボックス プロセスからサンドボックス外のユーザー データへのアクセスなどの小規模な脆弱性は 25,000 ドルを獲得します。