We use cookies to ensure that we give you the best experience on our website.

תוכנית פרס הבאג הנכה של אפל הופכת את כולנו לפחות בטוחים באינטרנט

תשלום לאנשים כאשר הם מדווחים על בעיות אבטחה רציניות עם macOS ו-iOS הוא רעיון טוב, אבל שנתיים אחרי, זה עדיין נעשה רק בצורה חצי לב, קמצנית. זה מזיק לאפל וזה מזיק לנו.

ישנן בעיות שאינך יכול למצוא בבדיקות בטא, אך מיליוני האנשים המשתמשים במוצרים שלך יזהו בסופו של דבר.

לאפל יש כמה מהמומחים החכמים והמנוסים ביותר שמחפשים בעיות בתוכנה שלה - ורובם לא עובדים עבור החברה. מישהו, איפשהו ימצא בעיה, והשאלה היחידה היא מה הוא יעשה עם המידע הזה.

נכון לעכשיו, לאפל יש תוכנית להרתיע אותם מלבוא קדימה.

לא ככה זה אמור להיות. רשמית, לאפל יש את מה שהיא מכנה תוכנית פרס באגים מאז 2016 - וזה צריך להיות פשוט. אם תמצא באג רציני בתוכנה של אפל, החברה תשלם פרס. זהו. כן, יהיו בעיות אם מצאת את זה קודם אבל בצד מנהל המערכת, זה פשוט.

עם זאת, אנחנו כבר שלוש שנים בשפע הבאגים והשבוע אפל פרסמה חדשות בטלוויזיה על ידי - הלם - למעשה שילמה אותם. ואולי הם עשו זאת רק בגלל הדיווח החדשותי הזה.

אפל טוב

אפל עשתה את הדבר הנכון. זה לא רק שילם קצת כסף עבור הגילוי, זה פתר את הבעיה ואת שלההערות השחרור מזכה את האנשים שמצאו אותו.

אנשים מצאו באג ודיווחו עליו לאפל, שתיקנה אותו ואמרה תודה. זה מה שקרה ואם זה היה קורה ברצף הזה, אם זה היה אפילו בערך קו ישר בתהליך הזה, לא היינו חושבים על זה. ומה שהרבה יותר חשוב, כל מי שימצא באג יפנה ישר לאפל כמו שאנחנו רוצים שיעשו. כל הכבוד לאפל על תיקון הבעיה ובהחלט כל הכבוד לחברה על יצירת תוכנית הבאונטי הזה.

רק, זה כאילו האנשים שיצרו את התוכנית נמצאים במשרד אחר מאלה שאמורים לשלם.

אפל מתנהגת כאילו פרס הבאג הזה הוא כפייה עליהם, ומחלקת החשבונות מתנהגת כאילו הסכום עומד להכריע את החברה. אתה לא יכול להפוך לחברה הרווחית ביותר בעולם על ידי הוצאת כסף כלאחר יד, אבל תסתכל על המספרים. פרס הבאג אמור לשלם בין 25,000 ל-200,000 דולר ואפילו בטווח הקצר, אפל בוודאי הפסידה את זה ביחסי ציבור גרועים.

אם זה היה הולך בדרך אחרת, אם אפל הייתה מקבלת את דוח הבאג, פעלה על פיו מיד ומודיעה במועד יותר כי היא תשלם עבור ההשכלה האקדמית של הילד בתור תודה, החברה הייתה כוכבת. כן, כל מי שיכול היה לזנק על העגלה ומנסה למצוא באג לספר לאפל - אבל זה בדיוק מה שהם צריכים לרצות.

זה לא שאנחנו רוצים שכולם יאהבו את אפל, זה שאנחנו רוצים שכל מי שמוצא באג ייקח אותו ללא היסוס ישירות לחברה.

מחזיק מעמד במחאה

גם בפברואר, חוקר עשההדגים ניצול חדש של מחזיק מפתחות, שבהינתן הנסיבות הנכונות יאפשר לתוקף מתמשך וממוקד לחלץ את הסיסמאות שלך ממחזיק המפתחות. זה לא כל כך פשוט שהסיסמאות יורדות לטוענים כאשר מוצגת מודעה גרועה, אבל בכל זאת זה וקטור להתקפה.

כמו כן, החוקר לא חולק את הפרטים הספציפיים עם אפל, מעבר להדגמה של העובדה שזה עובד - בגלל תוכנית הבאונטי הבוטה. זה בטוח יהיה טוב יותר אם לאפל יהיו כל הפרטים כאן. אין ספק, החוקר מחזיק מעמד וזה חלק מהבעיה, אבל הסיבה לכך שהיא מתעכבת היא די בולטת.

לא בעיה בלתי פתירה

אף אחד לא רוצה שאפל תיראה כאילו היא לסירוגין בהכחשה וצובטת פרוטה, אבל היא כן. אף אחד מהצד של המלאכים לא רוצה שאנשים שמוצאים באגים יחשבו שפשוט יותר קל למכור אותו למישהו שינצל פגיעות ב-macOS או iOS.

הבהירו שלדבר לאפל זה הדבר הטוב ביותר - ותפסיקו להסתיר איך לעשות את הדיווח הזה. נכון לעכשיו, יהיה לך קושי לגלות היכן למצוא את תוכנית הבאונטי הזה. קדימה, חפש באתר אפל איך אתה עושה את זה.

אולי חשבת על זה לשנייה והחלטת ש-apple.com זה לא המקום הנכון, עליך לחפש במקום זאת support.apple.com. לא משנה. אין הבדל.

אפשר לחשוב שזה יעלה משהו

אלא אם כן אתה מבלה את זמנך במציאת מילים נרדפות לבאגים ובעיות - תשכח מפרס, כסף, תגמול - אז הדרך היחידה לגלות כיצד לדווח על באג היא באמצעות חיפוש בגוגל. אם במקום זאת תכנס ל-google.com ותחפש "bug bounty at apple.com" אז תמצא אותו.

או ליתר דיוק, תמצא דף תמיכה בשםפנה לאפל לגבי בעיות אבטחה. יש קטע ללקוחות שלא מזכיר שום דבר שקשור לזה. יש קטע למפתחים שאומר להם לדווח על בעיות דרך תוכנית Apple Developer Connection הרגילה שכולם צריכים להירשם אליה.

ואז, לבסוף, ישנו סעיף שכותרתו חוקרי אבטחה ופרטיות ונאמר להם שהם יכולים לשלוח דוא"ל ל[email protected] אם הם רוצים. זה כנראה האחד שאתה צריך אבל אתה יכול לרמות אותנו כי אפל לא אומרת את זה כאן, היא לא אומרת את זה בשום מקום.

חכמים

אם אתה חכם מספיק כדי למצוא באג, אתה חכם מספיק כדי למצוא בסופו של דבר את תוכנית הבאונטי. יש גם סיכוי טוב שאתה מספיק חכם כדי לדעת שיש כסף טוב מהסוג של אנשים שאתה לא רוצה שתהיה להם גישה לבאגים.

אנחנו בסדר עם זה שקשה למצוא אנשים רעים למכור להם את הבאג שלך, וקל למכור אותו לאפל. אפל לא אמורה להקשות כל כך למצוא את האנשים הטובים.

אנחנו לא יודעים וכנראה לעולם לא נדע כמה כסף שילמה אפל כדי לגלות את באג FaceTime של קבוצת הקבוצה. אנחנו גם לא באמת יכולים לקבוע מחיר על כמה נזק עלה לו הפעם תהליך ההכחשה הצובט שלו. כותרות איומות עדיין צצות בכל רחבי האינטרנט והמדיה החברתית, למרות שאפל כבר תיקנה את הבעיה.

יוצא, אם כן, שאנחנו לא באמת יכולים לשים נתון דולר על המשמעות הבאה. אתה יכול לשים יותר מדי משקל על אירוע בודד, אבל כשזה האירוע היחיד שמדברים עליו, כשזה האירוע היחיד שעולה לחדשות, אז זה זה שייזכר ראשון.

אז מה שאנחנו למדים מהתקרית הבודדת הזו הוא שלאפל יש תוכנית פרס באגים אבל היא לא רוצה שתדע עליה. אנו למדים שאפל לא באמת רוצה שתדווח על באגים והיא באמת לא רוצה לשלם.

ובפעם הבאה שמישהו ימצא באג רציני, זה עלול לעלות לאפל - ולכולנו - הרבה יותר מאשר בין 25,000 ל-200,000 דולר.

התעדכן ב-AppleInsider על ידי הורדת ה-אפליקציית AppleInsiderעבור iOS, ועקבו אחרינו ביוטיוב, טוויטר@appleinsiderופייסבוקלסיקור חי ומאוחר. אתה יכול גם לבדוק את הרשמי שלנואינסטגרםחשבון לתמונות בלעדיות.

Related articles