Apple: indietro con il bug bounty. Tutto questo premia i broker zeroday.

Redazione RHC : 11 Settembre 2021 07:04

Apple supporta il Vulnerability Bounty Program da cinque anni, offrendo fino a 1 milione di dollari per i bug più pericolosi. Tuttavia, molti esperti di sicurezza informatica lamentano che l’azienda corregge le vulnerabilità con molto ritardo e non sempre paga una remunerazione adeguata.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.   Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

In generale, i ricercatori ritengono che l’approccio chiuso di Apple danneggi il programma e metta a rischio la sicurezza dei loro prodotti, scrive il Washington Post.

Apple ha lanciato il programma bug bounty nel 2016. Secondo Ivan Krstic, responsabile dello sviluppo della sicurezza di Apple, quest’anno l’azienda ha pagato il doppio dei premi dell’anno precedente e i suoi premi rispecchiamo un importo medio rispetto ai broker zeroday.

Tuttavia, i ricercatori intervistati da TWP non sono d’accordo con questa affermazione. Programmi simili come Facebook, Microsoft e Google sono più aperti e forniscono più risorse per raggiungere un pubblico più ampio di esperti. Inoltre, molti di loro pagano più di Apple.

Ad esempio, nel 2020, Microsoft ha pagato ai ricercatori un totale di 13,6 milioni di dollari, Google – 6,7 milioni e Apple ha speso 3,7 milioni per questi scopi.

Allo stesso tempo, l’azienda accumula vulnerabilità che rimangono senza patch. A causa di questo approccio, molti ricercatori non segnalano ad Apple i problemi che riscontrano, ma preferiscono venderli a dipartimenti governativi o aziende che sviluppano strumenti di hacking come appunto i broker zeroday.

Secondo Krstic, Apple intende migliorare il suo approccio al programma di bug bounty e quindi rispondere più rapidamente alle segnalazioni dei ricercatori e aggiungere nuovi incentivi.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli