Apple ofrece un programa de recompensas por errores que está diseñado para pagar a los investigadores de seguridad por descubrir e informar errores críticos en los sistemas operativos de Apple, pero los investigadores no están contentos con la forma en que opera o los pagos de Apple en comparación con otras compañías tecnológicas importantes, informa. El Washington Post.
En entrevistas con más de dos docenas de investigadores de seguridad, El Washington Post recogió una serie de quejas. Apple es lento para corregir errores y no siempre paga lo que se debe.
Apple en 2020 pagó $ 3.7 millones, aproximadamente la mitad de los $ 6.7 millones que Google pagó a los investigadores, y mucho menos de los $ 13.6 millones que pagó Microsoft. Mientras que otras empresas como Facebook, Microsoft y Google destacan a los investigadores de seguridad que encuentran errores importantes y celebran conferencias y brindan recursos para alentar a una amplia gama de participantes, Apple no lo hace.
Los investigadores de seguridad dijeron que Apple limita la retroalimentación sobre qué errores recibirán una recompensa, y los empleados anteriores y actuales de Apple dijeron que hay una “acumulación masiva” de errores que aún no se han abordado.
La renuencia de Apple a ser más abierta con los investigadores de seguridad ha desalentado a algunos investigadores de proporcionar fallas a Apple, y esos investigadores las venden a clientes como agencias gubernamentales o empresas que ofrecen servicios de piratería.
El jefe de ingeniería y arquitectura de seguridad de Apple, Ivan Krstić, dijo El Washington Post que Apple siente que el programa ha sido un éxito y que Apple ha duplicado la cantidad que pagó en recompensas por errores en 2020 en comparación con 2019. Apple, sin embargo, todavía está trabajando para escalar el programa y ofrecerá nuevas recompensas en el futuro.
“También estamos planeando introducir nuevas recompensas para que los investigadores sigan ampliando la participación en el programa, y continuamos investigando caminos para ofrecer nuevas e incluso mejores herramientas de investigación que cumplan con nuestro riguroso modelo de seguridad de plataforma líder en la industria”.
La fundadora de Luta Security, Katie Moussouris, dijo El Washington Post que la mala reputación de Apple con la comunidad de seguridad podría conducir en el futuro a “productos menos seguros” y “más costos”.
El programa de recompensas por errores de Apple promete recompensas que van desde $ 100,000 a $ 1,000,000, y Apple también proporciona a algunos investigadores iPhones especiales dedicados a la investigación de seguridad. Estos iPhones están menos bloqueados que los dispositivos de consumo y están diseñados para facilitar el descubrimiento de vulnerabilidades y debilidades de seguridad.
Sam Curry, un investigador de seguridad que trabajó con Apple en 2020, dijo que ofreció comentarios a Apple y que siente que la compañía está consciente de cómo se ve y “está tratando de seguir adelante”. De acuerdo a El Washington PostEste año, Apple contrató a un nuevo líder para el programa de recompensas por errores, por lo que pronto podría ver algunas mejoras.