Минулого року Apple запустила програму bug bounty, запропонувавши фахівцям з безпеки і хакерам до $200,000, якщо вони виявлять баги в iOS. Але програма зазнала невдачі після того, як фахівці і хакери відмовилися повідомляти Apple про багів, оскільки вони виявилися занадто цінними.
Згущує фарби в цій ситуації той факт, що багато дрібних компаній платять за розкриття багів iOS більше, ніж сама Apple. Zerodium, наприклад, пропонує до мільйона доларів за розкриття вразливостей iOS.
«Люди можуть заробляти більше на продажу своїх багів іншим», - говорить фахівець з безпеки компанії Zimperium Нікіас Бассен, який приєднався до програми Apple в минулому році. «Якщо ви займаєтеся цим тільки заради грошей, то не станете повідомляти про багів Apple безпосередньо».
Коли Apple запустила свою програму bug bounty, вона запросила багатьох відомих і надійних фахівців, а також зломщика Лукаса Тодеско. Вони прилетіли в штаб-квартиру в Купертіно, і там команда з безпеки представила їм презентацію про те, чому вони повинні приєднатися до програми. Вони навіть зустрілися з Крейгом Федерігі, віце-президентом з розробки програмного забезпечення Apple. Але навіть незважаючи на це у фахівців залишалися сумніви.
Справа не тільки в грошах. Через те, що iOS добре захищена, їм довелося б отримати доступ до кількох вразливостей нульового дня і багів, щоб якось їх дослідити. Через це багато фахівців просто не стали розповідати про виявлені баги. Під час вищезгаданої зустрічі з Apple багато з них попросили команду безпеки надати їм телефони iPhone без деяких налаштувань захисту. Але Apple їм відмовила.
Є ймовірність, що деякі фахівці надали виявлені баги Apple в рамках програми, але не стали оголошувати про це публічно. Але навіть якщо це і так, програма bug bounty від Apple стала провальною, оскільки компанія очевидно недооцінила цінність багів iOS.