Apple、「バグ報告による報酬プログラム」の報奨金が安すぎて、他のJailbreak集団などに売られる状況!

Appleが昨年の夏に開始した「バグ報告による報酬プログラム」は、Appleのソフトウェアに関するバグを報告すると、それが重要度が高いバグであればAppleから報酬が支払われるというプログラムで、Appleはこれにより迅速にソフトウェアのバグ潰しを行おうと考えていました。

しかし、Motherboardの最新のレポートによると、このプログラムはあまり成果を上げていないようです。それは以下のように非常に危険度の高いバグであっても最高20万ドル(約2,260万円)という報酬は、研究者やハッカーが安すぎると考えていることが理由です。

・Secure boot firmware: $200,000
・Extraction of confidential material protected by the Secure Enclave Processor: $100,000
・Execution of arbitrary code w/kernel privs: $50,000
・Unauthorized access to iCloud account data on Apple Servers: $50,000
・Access from a sandboxed process to user data outside of that sandbox: $25,000

このプログラムに加わったジムペリウム(Zimperium)社のセキュリティ研究者、ニキアス・バッセン(Nikias Bassen)氏は、「人々はバグを他人に売却すれば、より多くの現金を得ることができる」と語り、Appleの報酬が安すぎて機能していないことを主張しました。

グレーマーケットでは、iOSのjailbreakを可能にするようなバグであれば150万ドルで買う顧客がいいるとのことで、多くのバグ発見者がグレーマーケットでバグ情報を売ってAppleよりも多くの収入得ています。

また、研究者はバグをAppleに報告するとそのバグに関する研究ができなくなるため、より高い報酬でないとAppleに報告する価値がないとのことです。

(via 9 to 5 Mac