Los investigadores en Seguridad no creen que Apple pague suficiente

Los investigadores en Seguridad no creen que Apple pague suficiente

Como informamos en su día Apple realizó un programa donde recompensaba por descubrir fallos de vulnerabidad en sus sistemas. Este programa que fue activado, ahora hace unos 11 meses, estaba disponible para investigadores de seguridad. Pero en una información reciente de la Motherboard, afirman que prefieren no informar de estos fallos de vulnerabilidad. Por qué la gran mayoría de los investigadores en Seguridad no creen que Apple pague suficiente.

Esto es debido a que los investigadores pueden conseguir cobrar más dinero de terceros. Con los fallos de vulnerabilidad o errores en el software de Apple.

Comentarios de los investigadores y posibles recompensas

Según palabras de una investigadora de seguridad Nikias Bassen de la compañía Zimperium y que se unió al programa de Apple el año pasado. “Las personas pueden obtener más dinero si venden sus errores a otros”. “Si realmente sólo lo estás haciendo por el dinero, no vas a dar [bugs] a Apple directamente.”

Este medio, mencionado anteriormente, ha hablado con varios de los miembros del programa de recompensas por errores o fallos de vulnerabilidad de Apple. Con tan solo una condición, que mantuvieran su anonimato. Cada uno de los miembros que fueron entrevistados, comentó, que todavía estaban pendientes de informar de un fallo o error a la compañía de la manzana.

Pues los bugs de iOS, son “demasiado valiosos para reportar a Apple”. Según palabras de Patrick Wardle, investigador de SYNACK y un ex hacker de la NSA. El cual fue invitado al programa de recompensas el año pasado.

Apple lanzó por primera vez su programa de recompensa de fallos dé vulnerabilidad o errores en agosto de 2016 en la Conferencia de Black Hat. Un evento que se celebra anualmente de INFOSEC global.

Actualmente Apple ofrece recompensas de hasta $200.000 eso sí dependiendo de la vulnerabilidad. Los componentes de firmware de arranque seguro pueden ganar $200.000 en el high-end. Respecto a  las vulnerabilidades más pequeñas, como por ejemplo el poder acceder  desde un proceso de espacio aislado a los datos de usuario fuera de la sandbox, pueden ganar unos $25.000.

Comentarios

comentarios