محققان امنیتی تمایلی به مشارکت در برنامه پاداش اشکال اپل ندارند. از همین رو

اخبار اپل


اکنون پنج سال است که اپل هکرهای اخلاقی را با پاداش حداکثر 1 میلیون دلار به منظور آسیب پذیری های امنیتی مهم فریب می دهد. با این حال ، بسیاری از برنامه های اپل می گویند که این شرکت در رفع اشکالات گزارش شده دیر عمل می کند و همیشه به هکرها پول نمی دهد.

برنامه های پاداش خطا به روش ترجیحی برای تشخیص آسیب پذیری ها در جامعه فنی تبدیل شده است. آنها هکرها را تشویق می کنند تا مشکلات را به جای سوء استفاده از آنها گزارش دهند. گفته می شود که “فرهنگ جزیره ای” اپل به برنامه آسیب رسانده است و یک نقطه کور برای امنیت ایجاد کرده است.

Luta Security به وزارت دفاع کمک کرد تا برنامه پاداش اشکالات خود را ایجاد کند. کتی موسوریس ، مدیرعامل و موسس شرکت ، مدعی است که در برنامه اشکال ، “خانه همیشه برنده است.” او استدلال می کند که مصرف کنندگان باید هزینه شهرت بد اپل در صنعت امنیت را با محصولات ناامن بپردازند.

برنامه پاداش اشکالات اپل در سال 2016 راه اندازی شد. تا سال 2019 ، این شرکت ابتکار عمل را برای همه محققان باز کرد. یکی از کارمندان سابق و فعلی اپل هر دو گفت که اپل دارای اشکالات زیادی است که منتظر وصله هستند. موسوریس به درستی خاطرنشان کرد که شرکت ها باید قبل از به چالش کشیدن مردم عادی برای گزارش آسیب پذیری ها و عملیات در مقیاس بزرگ ، مکانیزم های اشکال زدایی داخلی قوی داشته باشند. “انتظار دارید چه اتفاقی بیفتد اگر آنها اشتباهی را گزارش کنند که شما قبلاً از آن مطلع بوده اید اما آن را برطرف نکرده اید؟” یا اگر چیزی را گزارش کنند که 500 روز طول می کشد تا آن را برطرف کنید؟ ” او گفت.

بدیهی است که تاخیر در تصحیح خطاها تنها مشکل نیست

با توجه به جنبه مالی ، محققان ادعا می کنند که سیستم پاداش اپل نیز مشکلاتی دارد. در این حالت ، برنامه تا 100000 دلار برای آسیب پذیری هایی که به مهاجمان اجازه می دهد “دسترسی غیرمجاز به داده های حساس” داشته باشند ، پرداخت می کند.

در اوایل سال جاری ، محقق سدریک اوونز یکی از این آسیب پذیری ها را کشف کرد که می تواند به بازیگران بد اجازه دهد محافظت از مک را دور زده و بدافزارها را نصب کنند. او یافته های خود را با اپل در میان گذاشت و او این اشتباه را تصحیح کرد. با این حال ، اوون فقط 5000 دلار دریافت کرد. این پنج درصد چیزی است که اوونز فکر می کرد لیاقتش را دارد. محققان دیگر معتقدند که این آسیب پذیری می تواند دسترسی به “داده های حساس” را امکان پذیر کند.

سم کاری ، محقق امنیتی مستقر در اوماها ، با دوستان خود همکاری کرده است تا گزارش اشکال جدید اپل را هر چند روز یکبار ارسال کنند. اپل برای یکی از این اشتباهات 50 هزار دلار پرداخت کرد. در مجموع ، این گروه تقریباً 500000 دلار درآمد داشت. کاری خاطرنشان کرد که پرداخت مدت زمان بیشتری به اپل نسبت به سایر بخش های صنعت برای دریافت پاداش اشکال نیاز داشت. کاری معتقد است که این امر به این دلیل است که اپل از شهرت بد خود در جامعه تحقیقاتی امنیتی نزدیک آگاه است.

حداقل یکی از مهندسان iOS ، تیان ژانگ ، خاطرنشان کرد که اپل گزارش اشکالات او را نادیده گرفته و برای تشخیص این آسیب پذیری به او پولی نداده است. جالب اینجاست که اپل در حال اصلاح خطایی است که گزارش داده است. وی خاطرنشان کرد که به عنوان یک مهندس ، شخص می خواهد از ایمنی محصولات طراحی شده برای افراد دیگر اطمینان حاصل کند. وی ادامه داد: از سوی دیگر ، به نظر می رسد که اپل فکر می کند افرادی که اشکالات را گزارش می کنند ، آزاردهنده هستند و می خواهند مردم را از این کار منصرف کنند.

فرهنگ محرمانه بودن اپل برای شفافیت در حالت آماده باش با هکرهای اخلاقی در تضاد است

جی کاپلان ، بنیانگذار شرکت تحقیقاتی امنیت جمعی Synac ، ادعا می کند که اپل مجبور شده است یک برنامه بزرگ اشکال را راه اندازی کند و فرهنگ محققان امنیت عمومی را بپذیرد. وی خاطرنشان کرد که به دلیل شهرت بد پیش از این اپل ، محققان تشویق نمی شوند که اشکالات را به اپل گزارش دهند. در عوض ، “آنها به کنفرانس های امنیتی می روند و در مورد آن به طور عمومی صحبت می کنند و آن را در بازار سیاه (sic) می فروشند.”

بهره برداری از پلتفرم های اپل می تواند تقریبا 2 میلیون دلار در بازارهای خاکستری و سیاه به دست آورد ، که تنها 2.5 میلیون دلار از آسیب پذیری های معادل اندروید جلوگیری می کند.

اپل باقی می ماند Adamant، Runaway Success Error Conditions

ایوان کراستیچ ، رئیس مهندسی امنیت اپل ، به طور قاطع برنامه جوایز را “موفقیت فرار” توصیف کرد. کرستیچ در پاسخ به این س whyال که چرا دستمزد محقق به دلیل نقصی که یافته است ، پرداخت نمی شود ، گفت: “هنگامی که ما اشتباه می کنیم ، سخت کار می کنیم تا آنها را به سرعت اصلاح کنیم و از آنها برای بهبود سریع برنامه یاد می گیریم.”

[Via The Washington Post]



مانی ربات

خرید اپل ایدی

آخرین اخبار کلاب هاوس

خرید دعوت نامه کلاب هاوس

خرید پاسور

منبع اصلی پست

bitly
بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

اخبار اپل
ما بالاخره می دانیم چه چیزی قاتل سریالی Shining Girls را اینقدر شیطانی کرده است [Apple TV+ recap]

اپل تی وی + هیجان انگیز دختران درخشان به گذشته منحرف می شود تا منشا قاتل سریالی هارپر کورتیس و خانه سفر در زمان را فاش کند. این شامل یک دوستی شکسته، یک زوج پیر مرده، و دروغ و خیانت بیشتر است. با این حال، هارپر همیشه دیوانه ای نبود …

نحوه استفاده از میانبر دستیار دسترسی اپل
اخبار اپل
گزارش: EA مذاکراتی را با اپل در مورد خرید احتمالی انجام داده است

یک گزارش جدید می گوید که اپل یکی از چندین شرکتی است که با EA در مورد خرید احتمالی شرکت پشت Battlefield، EA Sports، Mass Effect و غیره مذاکره کرده است. گزارش Puck از طریق paywalled دوستان ما در GamesRadar + می گوید که EA “در پیگیری فروش مداوم بوده …

اخبار اپل
چگونه توییتر را دوباره سرگرم کننده کنیم

توییتر: علت و راه حل همه مشکلات زندگی. مردم اخیراً در مورد توییتر صحبت می کنند. وقتی دوستانم از اینکه چگونه از استفاده از توییتر لذت نمی برند شکایت می کنند، من قبلاً گیج می شدم. توییتر همان چیزی است که شما آن را می سازید. اگر توییتر را دوست …