Apple заподозрили в экономии на безопасности

Почти год назад, в августе 2016 года, корпорация Apple объявила о запуске программы премирования пользователей и сторонних исследований за найденные в продуктах Apple уязвимости – bug bounty. Специалисты по кибербезопасности тогда попеняли Apple на нерасторопность – большинство ведущих технологических компаний ввели подобные программы куда раньше – но в целом восприняли новость с энтузиазмом. Однако теперь энтузиазм вновь сменился скепсисом. За прошедший год не появилось ни одного сообщения о премировании исследователей в рамках bug bounty-программы Apple, и, по всей вероятности, подобных случаев просто не было.

Хотелось бы, разумеется, думать, что продукты Apple столь безопасны, что никто не смог отыскать в них уязвимости. Но реальность, видимо, куда прозаичней: суммы вознаграждений, предлагаемые Apple, просто не интересуют серьезных исследователей. Уже вскоре после объявления корпорации о запуске программы bug bounty известный эксперт Джонатан Зджарски задал в своем Twitter вполне риторический вопрос: «Если вы найдете уязвимость нулевого дня, кому вы ее продадите – Apple за 200 тысяч долларов или Zerodium за полтора миллиона?».

Zerodium – компания, которая специализируется на скупке уязвимостей, предлагая затем своим клиентам способы не стать их жертвами. Она действительно выплачивает за уязвимости нулевого дня очень крупные суммы. Так же поступают и еще несколько компаний; нельзя забывать и о хакерских группировках, действующих при поддержке правительств и потому тоже не стесненных в средствах. Для них уязвимости нулевого дня могут оказаться очень ценным приобретением. Словом, у специалиста, обнаружившего серьезную уязвимость, как правило, есть выбор, кому ее предложить – и вариант Apple неизбежно оказывается в самом конце списка.