Applov lov na luknje ne deluje
Matej Huš
7. jul 2017 ob 08:40:31
Apple je lanskega avgusta kot eden zadnjih velikih proizvajalcev programske opreme uvedel program prijavljanja hroščev in nagrajevanja prijaviteljev (bug bounty). Toda kakšnega velika uspeha program ni požel, ker se v njem ne splača sodelovati. Bistveno več je moč zaslužiti s prodajo odkritih ranljivosti na sivem trgu. V javnosti sploh še ni podatkov, da bi kdorkoli dobil kakršnokoli nagrado iz Appla za prijavo ranljivosti.
Razlog je preprost. Ranljivosti v iOS-u in drugih Applovih sistemih je zelo malo, kar je pohvalno. Toda kdorkoli vendarle odkrije kakšno, kot je bil recimo odklep iPhona za FBI v primeru San Bernardino, je zato ne bo prodal Applu, saj lahko na sivem trgu zanju iztrži bistveno več. Res pa je tudi, da Applov program prijave napak ne deluje kakor ostali. Apple ne objavlja informacij o nagradah (če te so), prav tako pa lahko v njem sodelujemo le s povabilom. A strokovnjaki pravijo, da program dejansko bolj sameva kot kaj drugega. Ponujajo sicer od 25.000 do 200.000 dolarjev, odvisno od resnosti luknje, a prav nihče se še ni javil in dejal, da je Applu sploh sporočil kakšno ranljivost prek tega programa (brez detajlov).
To se sliši veliko, a ni čisto res. Dobre luknje v iOS-u je mogoče prodati za poldrugi milijon dolarjev, manjše pa za recimo pol milijona. Druga možnost je tudi ranljivosti ne prijaviti, kar zagotovo počno NSA in CIA, pa tudi drugi raziskovalci imajo močan motiv, da tega ne storijo, saj bi si s prijavo hrošča zaprli vrata v sistem.