Společnost Apple v roce 2019 zavedla u svého Bug bounty programu pro odhalování chyb v systémech řadu novinek. Účastníkům tohoto programu nabídl v případě odhalení chyb výrazně vyšší odměny a řadu benefitů, a všichni byli zvědaví na to, jaké výsledky tato změna přinese. Tento měsíc se o ně cupertinská společnost konečně podělila.
Apple svůj vylepšený bug bounty program označil za jednoznačný úspěch, bezpečnostní experti tento názor bohužel s cupertinskou společností nesdílí. Podle zprávy, kterou v průběhu minulého týdne zveřejnil deník The Washington Post, jej mají jeho účastníci podle svého vlastního vyjádření doslova „plné zuby“. Softwarový inženýr se specializací na operační systém iOS Tian Zhang například uvedl, že společnosti Apple nahlásil již několik chyb, dosud se ale dočkal své slíbené odměny. Namísto toho byl dokonce vyloučen z vývojářského programu. První chybu Zhang ohlásil společnosti Apple již v roce 2017. Po měsících čekání na odměnu mu došla trpělivost, a o svůj objev se podělil se světem v jednom z příspěvků na svém blogu. O něco později zkusil Zhang nahlásit Applu bezpečnostní chybu, kterou sice Apple opravil, ale Zhangovo ohlášení nechal bez zpětné vazby. V červenci opět Zhang nahlásil chybu, za kterou měl dostat odměnu – ani té se ale nedočkal, a následovalo již zmíněné vyřazení z vývojářského programu. Bez členství v programu již Zhang nemůže nahlašovat nalezené chyby.
Apple se k Zhangově případu nijak nevyjádřil, listu The Washington Post se ale ozvala řada dalších vývojářů s velmi podobnými příběhy. Někteří si stěžovali na to, že Applu ve srovnání s konkurencí trvá vyplacení odměn nesnesitelně dlouho. Ani samotné finanční odměny nejsou u Applu ve srovnání s konkurencí příliš vysoké – zatímco Google vyplatil v podobném programu za minulý rok 6,7 milionu dolarů a Microsoft dokonce 13.6 milionu dolarů, u Applu činila celková výše odměn, vyplacených bezpečnostním expertům, pouhé 3,7 milionu dolarů. Někteří ale přitom mluví o tom, že v operačních systémech Applu je možné najít obrovské množství dosud neopravených chyb. Podle bezpečnostních expertů je u bug bounty programů velmi důležité také to, jak daná společnost komunikuje s jejich účastníky. U Applu je podle vývojářů tato komunikace bohužel omezená jen na nejnutnější minimum a zpětná vazba zde prý prakticky neexistuje, což efektivní práci v rámci programu výrazně ztěžuje. Ivan Krstić, který v Applu šéfuje bezpečnostnímu inženýrství, nicméně trvá na tom, že bug bounty program cupertinské společnosti je velice úspěšný, a že na něm Apple velice tvrdě pracuje. Apple ale podle dostupných zpráv najal do řízení programu novou posilu, která má pomoci s jeho vylepšením.
Jaký je váš názor na chyby v operačních systémech Applu a na přístup firmy?
Softwary!!!!
Tvl. z toho krvácí oči!