iOS NEWS

セキュリティ研究者「iPhoneのバグを見つけてもAppleには報告しない」

多くの研究者が報奨金の額に不服

Appleは2016年8月より、自社製品のバグを発見し報告した者に報奨金を支払う「バグバウンティプログラム」を実施しています。そして開始から約1年。さぞApple製品のセキュリティは高まったのだろうと思いきや、意外とそうでもないのかもしれません。

多くのセキュリティ研究者は「仮にバグを発見してもAppleに報告をすることはない」と語ります。その原因は報酬の低さ。

金額はバグの種類によって切り分けされるものの最大で$200,000とされていますが、Apple製品のバグは非常に発見が難しく、そのため外部市場では例えばジェイルブレイクに繋がる複数のバグでは$1,500,000と非常に高値で取引されます。つまりAppleに素直に報告するよりも外部に売ったほうが大きな対価を得られるのです。

研究者の中にはAppleに教えるにはもったいなさ過ぎるとして情報を保持したままの者もいるのだとか。

 

つまりこれは、例えばiPhoneなどでは他のOSに比べてセキュリティの高さをアピールしているAppleが向上に対する報酬を出し渋っているせいで、実際は多く存在するセキュリティホールを把握していないということになります。

そしてそのセキュリティホールがもし秘密裏に闇市場で共有され、悪意のあるハッカーの手に渡ってしまえば全世界のユーザーのプライバシーが危機に晒される事になります。

投資をしなかったがためにAppleが自滅しないことを祈りたいものです。

<情報元:Motherboard

<文:研究員A>

-iOS, NEWS