Algunos investigadores de seguridad dicen que Apple no paga lo suficiente por encontrar bugs en los sistemas operativos y en el software de Apple y que pueden obtener más dinero de terceros.
Motherboard habló con varios miembros del programa de recompensas de errores de Apple con la condición de ser anónimo. Cada uno de los investigadores de seguridad dijo que todavía tenían que reportar un error a Apple y no conocía a nadie que lo hubiera hecho. Los bugs de iOS son «demasiado valiosos para reportar a Apple«, según Patrick Wardle, un investigador de Synack y ex hacker de la NSA que fue invitado al programa el año pasado.
El año pasado, recordamos que Apple lanzó un programa de recompensas para ver quién encontraba errores. Esto era lo que ofrecían:
- Firmware de arranque seguro: 200,000 $
- Extracción de material confidencial protegido por el procesador Secure Enclave:100,000 $
- Ejecución de código arbitrario w / kernel privs: 50,000 $
- Acceso no autorizado a los datos de la cuenta de iCloud en servidores Apple: 50,000 $
- Acceso de un proceso de espacio aislado a datos de usuario fuera de esa caja de seguridad: 25,000 $
«La gente puede obtener más dinero si vende sus bugs a otros«, dijo Nikias Bassen, un investigador de seguridad de la compañía Zimperium, y que se unió al programa de Apple el año pasado. «Si lo estás haciendo por el dinero, no vas a dar [bugs] directamente a Apple«.
Motherboard dice que en el actual mercado gris, compañías como Zerodium compran las hazañas de los investigadores de seguridad y las ven a sus clientes, ofreciendo 1.5 millones de dólares por un método «compuesto de múltiples errores que pueden hacer jailbreak al iPhone». 500,000 $ para exploits similares.
La fuente es Motherboard y podéis leer su artículo completo: «Los errores del iPhone son demasiado valiosos para informar a Apple«