Atlas VPNによる新しい研究では、Appleがデバイス全体でソフトウェアの脆弱性を見つけて報告するために、研究者にバグ賞金の報酬で最高の支払いを行っていることが明らかになりました。サムスンと比較して、Appleのバグバウンティの報酬は、ライバルよりも5倍高くなっています。
しかし、それでも、Cupertino Techの巨人は、発見を認めず、報酬を支払わないために開発者またはセキュリティ研究者からの批判に直面しています。
Appleは、研究者に最高のバグ報酬を1万ドルから100万ドルから100万ドルに支払い、エクスプロイトを見つける
に従って報告、Cupertino Techの巨人は、そのデバイスで発見されたエクスプロイトのために最大100万ドルを支払うことができます。これは、Appleソフトウェアオペレーティングシステムで脆弱性を追求するためのセキュリティ研究者にとって大きなインセンティブです。 Huaweiは、Appgallery、Cloud Services、または電話自体の悪用に対して、バグバウンティリワードで2番目に高い金額を最大223,000ドルに支払います。サムスンは3位に立って、最大13000ドルのエクスプロイトの支払いを行います。
- Appleは、デバイスでエクスプロイトを見つける研究者に100,000ドルから100万ドルの支払いを行います。今年の初めのレポートは、Apple製品の脆弱性が450%以上急増したことを発見しました。
- Huaweiのバグバウンティプログラムは、デバイスの脆弱性を発見したため、200ドルから223,000ドルの支払いを提供しています。
- SamsungのBug Bountyプログラムは、重大度レベル、脆弱性レポートの質、影響を受ける範囲、および攻撃の難しさに応じて、資格のあるエクスプロイトに対して200〜2万ドルの研究者に研究者に報酬を与えます。
- Xiaomi Bounty Paymentsは、Found Fulnerabilityの場合は800ドルから13,000ドルの範囲で、Xiaomiのプログラムで最も恵みを獲得したハッカーのために、特別なハッカーリーダーボードの報酬を持っています。
- BBK Electronicsが所有するOnePlusとOppoは、バグバウンティプログラムがそれぞれ最大7kと$ 4Kを研究者に報いることができます。
- LGバグバウンティプログラムは、セキュリティの脆弱性の重大度に基づいて、最大4.2,000ドルの補償を提供します。
ただし、Apple Security Bounty(ASB)プログラムに登録したいくつかのセキュリティ研究者は、プログラムの管理に対する不満と不満を表明しています。研究者は、会社が提出された脆弱性に対応するのに数ヶ月かかると不満を述べ、時にはバグハンターをクレジットして正当な報酬を与えることなく発見された脆弱性にパッチを適用します。
続きを読む:AppleのWeatherアプリは、空白の画面の問題に続いて批判に直面しています
この行動は、4つのゼロデイエクスプロイトを発見した開発者のデニス・トカレフの場合に明らかでした。 Appleは彼に信用を与えずにiOS 14.7でパッチを当て、iOS 15で残りの3つのエクスプロイトで公開されたとき、会社は後で同じことをすることを表面的に謝罪しました。 iOS 15.0.2の更新では、Tokarevのクレジットと現金報酬を与えることなく、ゲームのゼロデイエクスプロイトを修正しました。さらに2つのエクスプロイトがまだ修正されていないため、2021年3月から5月にかけてエクスプロイトが提出されました。
また、Pegasus Spywareの作成者であるiPhoneやAndroidデバイスの作成者であるNSOのような企業であるHackerone、Zero Day Initiative、またはサードパーティなどのベンダーにエクスプロイトを販売することについて不満を抱いています。