Apple betaalt te weinig voor de opsporing van bugs aan derde partijen, waardoor sommige beveiligingsonderzoekers de kaken stijf op elkaar houden. De externe beveiligingsonderzoekers stuiten steeds vaker op lage bedragen voor het vinden van bugs.

Lage beloningen voor iPhone bugs kunnen in de toekomst voor problemen zorgen. Apple heeft een eigen intern team dat bugs opspoort, maar het laat ook externe bureaus hun gang gaan om zelf fouten in de software op te sporen. Externe onderzoekers houden bugs vaker voor zichzelf of verkopen ze door aan andere partijen, zo blijkt uit onderzoek.

Bug Bounty Program Apple levert weinig op

Apple startte een jaar geleden met het zogenaamde Bug Bounty Program. Onderzoekers die lekken in de software vinden, kunnen deze aanmelden binnen dit programma. Het programma looft beloningen uit voor bugs waarvan Apple het bestaan nog niet wist.

Maar die beloningen zijn veel te laag, schrijft de website Motherboard. De ontwikkelaars en onderzoekers houden de bugs liever voor zichzelf dan deze met Apple te delen. Andere partijen bieden meer voor een ernstig beveiligingslek dan Apple. Onderzoekers en ontwikkelaars die een bug vinden en het puur voor de winst doen, delen hun lekken dan niet met Apple, zo stelt een beveiligingsonderzoeker tegen de website.

Op basis van die bewering deed Motherboard verder onderzoek in de sector. Meerdere leden van het Bug Bounty Program van Apple hebben nog geen enkele bug gerapporteerd, en ook niemand die zij kennen heeft een bug doorgegeven. Het zou te weinig opleveren om een bug aan Apple door te geven.

Dit betaalt Apple voor bugs

Apple betaalt in verhouding met andere bedrijven maar weinig voor een bug. De maximale beloning voor een bug bedraagt 200.000 dollar. Dat is afhankelijk van hoe ernstig het lek is. Doorgaans kleinere lekken worden met maar weinig beloond. Een kleiner lek levert ongeveer 25.000 dollar op. Apple heeft niet tegenover Motherboard gereageerd op vragen over de lage beloningen.

Comments

comments