Quando, no ano passado, a Apple iniciou o seu programa de caça aos bugs, escolheu um reduzido número de investigadores para poderem participar neste programa.
Agora, passados vários meses, é quase certo que este é um programa fadado ao insucesso, mas por culpa do valor que estas falhas têm. É mais rentável não reportar as falhas à Apple e vendê-las a outras partes interessadas.
Seguindo a linha de outras empresas, a Apple decidiu, em agosto do ano passado, iniciar um programa de recompensas para os investigadores de segurança que reportassem falhas nos seus sistemas operativos.
Ao contrário da Microsoft, por exemplo, este parece estar-se a revelar infrutífero, uma vez que praticamente nenhum dos investigadores de segurança convidados terá reportado qualquer falha, optando por vendê-las a outras entidades e por valores muito mais elevados.
É precisamente este o único problema deste programa da Apple. São muitas as entidades dispostas a pagar verdadeiras fortunas pelas falhas dos sistemas da Apple, ultrapassando em muito o que a empresa de Cupertino tem definido como recompensa.
Tabela de pagamentos de falhas da Apple
Segundo vários investigadores, envolvidos neste processo, estas entidades são supostamente fidedignas e pretendem apenas comprar essas falhas para ajudar empresas e países a aceder a informação proprietária e presa em equipamentos bloqueados.
A título de exemplo, todas as falhas que resultem em jailbreak são bem mais lucrativas fora da Apple. A empresa de segurança Zerodium está disposta a pagar 1,5 milhões de dólares por uma falha destas e a Exodus Intelligence, outra empresa de segurança, tem anunciado que pagará 500 mil dólares por uma falha do iOS.
Resta apenas à Apple alterar os valores que paga aos investigadores de segurança, igualando os valores de mercado ou conseguindo outra abordagem que seja apelativa para quem encontre estas falhas e que procura conseguir lucrar com as mesmas. O cenário atual, como pode ser visto, não funciona, ao contrário do que acontece com a Microsoft ou a Google, que anunciam valores de prémios pagos bem elevados.
Via Motherboard