Ian Beer は、Google のセキュリティ部門である Project Zero に勤務するセキュリティ研究者です。 最近の声明によると、 Apple は、iOS と macOS で報告したバグのためだけに、慈善団体にほぼ 250 万ドルを寄付する必要があります。 Apple はサードパーティが発見したバグに報酬を与えないのでしょうか?十分ではないようです。
Google の Project Zero は、サードパーティのサービスや製品のセキュリティ ホールを発見する部門です。これらの企業を攻撃するためにこれを行っているのではなく、これらのバグを通知して、公開する前に最大 90 日以内に修正できるようにするためにこれを行っています。これにより、インターネットのセキュリティの向上を目指しています。セキュリティバグを他の企業に報告することは一般的であり、公開する前に修正するために90日間の猶予を与えるという「相互合意」がある。
Ian Beer は、Apple のオペレーティング システムに大量のセキュリティ ホールを発見し、常に報告し、Apple に修正するために 90 日の猶予を与えました。しかし、最近の声明の中で、彼は、Apple がバグの発見に対して支払う金額は、他の企業が支払う金額よりも低いと警告しています。彼は、自分が報告したことすべてに対して、Apple は彼に約 245 万ドルを支払うべきだったとコメントしています。
Appleの特典プログラム
Appleの特典プログラムが話題になるのはこれが初めてではない。同社は約2年前からこの施設をオープンしているが、入場は招待制となっている。 Apple が発見したバグごとに提示する最大支払い額は、脆弱性ごとに 20 万ドルです。多いように思えるかもしれませんが、Apple と同レベルの他社が提供しているものを考えると、比較的少ないものです。
その結果、多くの研究者はこれらの脆弱性を Apple ではなく他の企業に提供することを決定しました。たとえば、少し前に、ある企業が iOS と macOS のエクスプロイトに対して最大 300 万ドルを支払うと申し出た様子を目にしました。そしてもちろん、これらの企業がこれらの脆弱性に対して行うことは、Apple がこれらの脆弱性に対して行うことができるほどユーザーにとって有益ではないことは確かです。
経由 | ビジネスインサイダー
アップルフェラで | iOS または macOS のゼロデイ脆弱性を発見した人には 300 万ドル