Apple e il programma ricompense dei bug: ritardi nei pagamenti, ricompense non pagate e scarsa comunicazione

Apple e il programma ricompense dei bug: ritardi nei pagamenti, ricompense non pagate e scarsa comunicazione

Il programma bug bounty di Apple non funzionerebbe a dovere: gli sviluppatori che hanno segnalato bug lamentano ritardi nelle correzioni, riscontri lacunosi e talvolta anche il mancato pagamento dei premi

di pubblicata il , alle 15:01 nel canale Apple
Apple
 

Da ormai qualche anno Apple ha avviato un programma di ricompense pensato per corrispondere un premio in denaro a quei ricercatori di sicurezza che scoprono e segnalano bug critici nei sistemi operativi della Mela. Sembra però che il programma non funzioni a dovere, almeno secondo quanto emerge dalle informazioni provenienti da svariati ricercatori e raccolte dal Washington Post.

E ciò che emerge dal materiale raccolto dal Washington Post è che Apple è lenta nell'effettuare le correzioni per i bug segnalati e che non sempre corrisponde i premi che sarebbero dovuti. In generale gli sviluppatori intervistati segnalano una comunicazione non ottimale da parte del team che gestisce il programma di ricompense e un certo grado di mancanza di fiducia con riscontri spesso inesistenti o lacunosi, anche sul perché una ricompensa viene pagata o meno. Insomma, secondo gli sviluppatori raggiunti dal Post, l'iniziativa dovrebbe essere completamente rivista. Del resto tra i valori più importanti quando si tratta di sicurezza informatica vi sono proprio l'apertura e la libera circolazione di informazioni, due aspetti che non sono esattamente presenti nella cultura di Apple, improntata sulla segretezza e sul riserbo.

Questo tipo di iniziative, note anche con il nome di "bug bounty", sono abbastanza diffuse tra le grandi aziende tecnologiche. Il concetto di base è semplice: ogni prodotto o servizio realizzato, per quanto accuratamente, può contenere piccole o grandi falle potenzialmente in grado di causare gravi problemi di sicurezza. Per evitare che uno sviluppatore indipendente possa essere tentato di vendere il bug a terzi, le società offrono ricompense in denaro così da incentivar loro a comunicare la scoperta all'azienda, in maniera che possa essere risolta prima che diventi di pubblico dominio. Secondo le informazioni disponibili nel 2020 Apple ha corrisposto un totale di 3,7 milioni di dollari nel contesto del suo programma bug bounty, a fronte dei 6,7 milioni pagati da Google e dei 13,6 milioni pagati da Microsoft.

Il programma bug bounty di Apple promette ricompense che vanno da $ 100.000 a $ 1.000.000 per le segnalazioni di bug particolarmente gravi, e Apple fornisce anche ad alcuni ricercatori iPhone speciali dedicati alla ricerca sulla sicurezza. Questi iPhone hanno meno restrizioni rispetto ai dispositivi consumer e sono progettati per agevolare la scoperta di vulnerabilità e punti deboli della sicurezza.

Il Post ha citato vari casi di bug, anche piuttosto delicati, che sono stati segnalati ad Apple e in cui la Mela ha fornito scarso riscontro agli sviluppatori o ha corretto le vulnerabilità dopo molto tempo. In alcune situazioni le ricompense non sono state corrisposte, con Apple che ha addotto una generica motivazione come "il bug segnalato non si classifica nelle categorie per una ricompensa".

Il Washington Post ha contattato Ivan Krstić, responsabile Security Engineering and Architecture per Apple, il quale ha dichiarato che la società ha raddoppiato nel 2020 l'importo pagato in premi rispetto al 2019, e che la società sta ancora lavorando per ampliare il programma e offrire nuove ricompense in futuro: "Stiamo pianificando di introdurre nuovi premi per i ricercatori, per continuare ad espandere la partecipazione al programma, e stiamo continuando a studiare percorsi per offrire strumenti di ricerca nuovi e migliori che soddisfino il nostro rigoroso modello di sicurezza della piattaforma leader del settore".

Katie Moussuris, CEO e fondatore di Luta Security che ha collaborato con il Dipartimento della Difesa USA e con Microsoft per creare i loro primi programmi bug bounty, ha commentato: "Devi avere un valido meccanismo interno di risoluzione dei bug prima di poter tentare di avere un programma di bug bounty. Cosa ti aspetti che possa accadere se riportano un bug che tu già conosci ma non hai risolto? O se ne viene segnalato uno che richiede 500 giorni per essere risolto?"

"Quando commettiamo errori lavoriamo sodo per correggerli rapidamente, e impariamo da essi per migliorare rapidamente il programma", ha dichiarato Krstić.

6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
dontbeevil10 Settembre 2021, 15:43 #1
C'e' da aspettarselo da un piccola compagnia, che non se la passa bene economicamente e vende i suoi prodotti quasi sottocosto
Lieutenant10 Settembre 2021, 16:23 #2
Alternativamente, c'e' da aspettarselo da una grande compagnia che se la passa alla grande economicamente facendo creste assurde sui suoi prodotti e alla quale non interessa altro che il profitto.
Sp3cialFx10 Settembre 2021, 16:47 #3
proprio oggi guardavo un macbook pro m1, per passare da 256 gb a 512 gb di ssd +230 euro. A 1TB +460 euro. In pratica da loro un ssd da 200 eu (si, ci sono a 100, ma poniamo pure sia di fascia alta) costa 460 eu E un ssd da 256 Gb.

si lo so che per voi sarà normale ma io ero da un po' che non guardavo i prezzi loro e veder lievitata così la Apple tax mi ha lasciato male, per i miei gusti sono davvero troppo sfacciati, cioè che abbiano margini alti lo sappiamo tutti ma così sembra proprio che te lo sbattano in faccia, facendoti capire chiaramente che una buona fetta dei soldi che gli dai non è per il prodotto ma per esclusivo profitto... e considerato che hanno quei 200 miliardi di $ da parte mi pare veramente immorale
Axios200610 Settembre 2021, 17:24 #4
Originariamente inviato da: Sp3cialFx
proprio oggi guardavo un macbook pro m1, per passare da 256 gb a 512 gb di ssd +230 euro. A 1TB +460 euro. In pratica da loro un ssd da 200 eu (si, ci sono a 100, ma poniamo pure sia di fascia alta) costa 460 eu E un ssd da 256 Gb.

si lo so che per voi sarà normale ma io ero da un po' che non guardavo i prezzi loro e veder lievitata così la Apple tax mi ha lasciato male, per i miei gusti sono davvero troppo sfacciati, cioè che abbiano margini alti lo sappiamo tutti ma così sembra proprio che te lo sbattano in faccia, facendoti capire chiaramente che una buona fetta dei soldi che gli dai non è per il prodotto ma per esclusivo profitto... e considerato che hanno quei 200 miliardi di $ da parte mi pare veramente immorale


I prodotti Apple sono uno status symbol, come i vestiti Calvin Klein, gli occhiali Ray Ban, gli orologi Rolex...

Finche' trovano chi paga il prezzo che chiedono...

Nulla vieta di comprare computer, vestiti, occhiali, orologi piu' economici.
mcarry8111 Settembre 2021, 01:30 #5
sacrosante parole!
pabloski11 Settembre 2021, 13:45 #6
Originariamente inviato da: Axios2006
I prodotti Apple sono uno status symbol, come i vestiti Calvin Klein, gli occhiali Ray Ban, gli orologi Rolex...

Finche' trovano chi paga il prezzo che chiedono...

Nulla vieta di comprare computer, vestiti, occhiali, orologi piu' [S]economici[/S] funzionali.


Ho corretto un errore di battitura

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^