Apple offre un “Bug Bounty”, la possibilità di partecipare a un programma che consente di dare la caccia ai bug nei sistemi operativi e – patto di rispettare determinate condizioni – ricevere premi in denaro.
Il programma di Apple non è a quanto pare molto amato dai ricercatori specializzati in sicurezza; il Washington Post riferisce che i ricercatori che si occupano di sicurezza non amano particolarmente il programma della Mela, perché sarebbe poco remunerativo rispetto a quanto offerto da altre aziende del settore e perché Apple a volte paga meno di quanto dovrebbe.
Il quotidiano statunitense ha sentito decine di ricercatori specializzati in sicurezza, alcuni dei quali hanno riferito che Apple è lenta nel rispondere e non sempre paga il dovuto. Un esempio del malcontento si è avuto quest’estate, con la testimonianza di Nicolas Brunner il quale, nonostante la scoperta di una vulnerabilità che avrebbe dovuto consentire al ricercatore di ottenere un bonus di 50.000 dollari, non ha ottenuto nulla, giacché quanto dimostrato dal ricercatore non sarebbe considerato da Cupertino un elemento con il quale qualificarsi per ottenere le ricompense previste.
“Quando commettiamo errori, lavoriamo sodo per correggerli rapidamente, stiamo imparando, migliorando il programma “, assicura Ivan Krstić – Security Engineering and Architecture della Casa di Cupertino – interpellato dal Washington Post su questo particolare esempio. Il capo di Apple responsabile sicurezza dell’architettura dei sistemi annuncia inoltre che il produttore offrirà nuove ricompense per incoraggiare i ricercatori a aumentare il coinvolgimento al bug bounty (qui l’attuale tabella con i premi previsti).
Krstić riferisce ancora che l’azienda è “costantemente alla ricerca di nuovi modi per fornire strumenti di ricerca ancora migliori che soddisfino il rigoroso modello di sicurezza della nostra piattaforma. Cupertino a quanto pare sta lavorando per accelerare i tempi di elaborazione e migliorare la comunicazione con la community degli esperti di sicurezza. Fedele alla sua cultura della segretezza, l’azienda non ha ad ogni modo voluto confermare l’assunzione di un nuovo responsabile a capo del programma che consente di scovare problematiche legate sicurezza… Chiunque se ne occupi o se ne occuperà, dovrà ad ogni modo rivedere molte cose.
Il Washington Post fa diversi esempi a dimostrazione dello scarso interesse di Apple su questo argomento: c’è stato il caso di Brunner, ma anche quello di Cedric Owens che ha scoperto una vulnerabilità di macOS all’inizio dell’anno e per la quale avrebbe dovuto ricevere 100.000$. Il bug è stato corretto con macOS 11.3, ma il produttore si è limitato a pagare solo 5000$, nonostante quanto scoperto valesse decisamente di più.
Nonostante le proteste di Owen, Apple non ha voluto riconsiderare l’importo della ricompensa. Il ricercatore, infastidito, afferma che continuerà ad avvisare il produttore se troverà delle vulnerabilità, ma riferisce di essere rimasto ovviamente deluso. Altri si sarebbero rivolti al “mercato grigio” in cui tali bug sono molto meglio pagati, consentono ad aziende come NSO Group di creare e vendere strumenti per spiare gli utenti come il famigerato tool Pegasus.
Krstić ricorda che dallo scorso anno Apple ha raddoppiato i premi per il bug bounbty e a suo dire l’azienda paga importi che sono in media superiori agli standard del settore. Tuttavia: nel 2020 Apple ha speso 3,7 milioni di dollari come parte del suo bug bounty , contro i 6,7 milioni di Google e i 13,6 milioni di Microsoft (tra luglio 2020 e luglio 2021). Krstić specifica che tale importo aumenterà nel 2021.