セキュリティ研究者らは Apple のバグ報奨金プログラムに不満

Apple は、Apple オペレーティング システムの重大なバグを発見して報告したセキュリティ研究者に報酬を支払うことを目的としたバグ報奨金プログラムを提供していますが、研究者らはその運営方法や他の大手テクノロジー企業と比較した Apple の報酬に満足していないと、 ワシントン ポスト紙 が報じています。

ワシントン・ポスト紙は 、20人以上のセキュリティ研究者へのインタビューで、多くの苦情を集めた。 Apple はバグ修正が遅く、未払い額を常に支払うとは限りません。

2020年にAppleが支払った金額は370万ドルで、Googleが研究者に支払った670万ドルの約半分であり、Microsoftが支払った1,360万ドルよりもはるかに少ない。 Facebook、Microsoft、Google などの他の企業は、重大なバグを発見したセキュリティ研究者を強調し、幅広い参加者を奨励するためにカンファレンスを開催してリソースを提供していますが、Apple はそうしません。

セキュリティ研究者らは、Apple は報奨金を受け取るバグについてのフィードバックを制限していると述べ、Apple の元従業員と現従業員は、まだ対処されていないバグが「大量に残されている」と述べた。

Apple がセキュリティ研究者に対してよりオープンになることに消極的であるため、一部の研究者は Apple に欠陥を提供することを思いとどまり、その代わりにそれらの研究者が政府機関やハッキング サービスを提供する企業などの顧客に欠陥を販売している。

Apple のセキュリティエンジニアリングおよびアーキテクチャ 責任 者の Ivan Krstiƒá 氏は、Apple はこのプログラムが成功したと感じており、2020 年にバグ報奨金として支払った額を 2019 年と比較して 2 倍に増額したとワシントンポスト紙に語った。プログラムの拡大に取り組んでおり、将来的には新しい報酬を提供する予定です。

「また、プログラムへの参加を拡大し続けるために研究者に新しい報酬を導入する予定であり、当社の厳格な業界をリードするプラットフォーム セキュリティ モデルを満たす新しい、さらに優れた研究ツールを提供するための道筋を調査し続けています。」

Luta Securityの創設者Katie Moussouris氏は、セキュリティコミュニティでのAppleの評判の悪さが、将来「製品の安全性が低くなり」「コストが高くなる」可能性があると ワシントンポスト紙に 語った。

Apple の バグ報奨金プログラムでは、 10 万ドルから 100 万ドルの範囲の報奨金が約束されており、Apple は一部の研究者にセキュリティ研究専用の 特別な iPhone を提供しています。これらの iPhone は民生用デバイスに比べてロックが緩く、セキュリティの脆弱性や弱点が発見されやすいように設計されています。

2020年にAppleと協力したセキュリティ研究者のサム・カリー氏は、Appleにフィードバックを提供し、Appleがどのように見られているかを認識しており、「前進しようとしている」と感じていると述べた。 The Washington Post によると、Apple は今年、バグ報奨金プログラムの新しいリーダーを採用したため、すぐにいくつかの改善が見られる可能性があります。