Mens flere av konkurrentene har tilbudt dusørordninger for alvorlige sårbarheter i flere år, har Apple i mindre grad demonstrert at selskapet setter pris på at eksterne sikkerhetsforskere eller hackere varsler selskapet om sårbarheter i selskapets produkter.
Men under Black Hat-konferansen som denne uken arrangeres i Las Vegas, kunngjorde Ivan Krstić under et foredrag at også Apple vil innføre en slik dusørordning. Krstić er sjef for sikkerhetsteknikk og -arkitektur hos Apple. Dette skriver blant annet CNET.
Når Apple nå først etablerer en slik ordning, noe som skal skje i september, så er ikke selskapet knuslete med dusørene. Det loves belønning på opptil 200 000 dollar for de mest alvorlige sårbarhetene.
Konsentrert
Men det er flere begrensninger ved ordningen som Apple skal innføre. Selskapet er bare interessert i å motta rapporter om visse typer sårbarheter i utvalgte deler av selskapets programvare, i stor grad knyttet til iOS-enheter.
I første omgang vil det kun være noen få, inviterte sikkerhetseksperter som får delta. Men det er ventet at selskapet vil åpne opp for flere etter hvert.
Apple's Ivan Krstić at #BlackHat2016 announces the new bug bounty program, with impressive payouts. pic.twitter.com/KpJ7dTjK02
— Neil Rubenking (@neiljrubenking) 4. august 2016
Krstić skal ha fortalt at Apple ble rådet av andre med slike dusørordninger til å begrense omfanget, rett og slett for å unngå å bruke mye ressurser på rapporter med lav verdi.
Det er flere gode grunner til å tilby en slik dusørordning. For det første kan det fungere som en gulrot for å få sikkerhetsforskere til å bruke mer tid på å lete etter sårbarheter i de aktuelle produktene.
Spesielt Googles dusørordning for Android, som ble etablert for et drøyt år siden, har tydelig demonstrert dette.
Løftet om dusør til rapporter som oppfyller kravene, kan bidra til at rapportene om de faktiske sårbarhetene er av bedre kvalitet, blant annet at det virkelig blir bevist at sårbarhetene kan utnyttes.
Dusørordningene vil trolig i mindre grad hindre at sikkerhetsforskere selger informasjonen om fortsatt ukjente sårbarheter til andre aktører, for eksempel kriminelle eller myndighetene i ulike land. Selv en dusør på 200 000 dollar kan da være altfor lav, sammenlignet med hva de andre kundene er villige til å betale.
- Leste du denne? Ga tiåring dusør for funn av sårbarhet
