Ian Beer es investigador de seguridad que trabaja en Project Zero, el departamento de seguridad de Google. Según unas declaraciones recientes, Apple debería donar casi 2,5 millones de dólares a la caridad sólo por los bugs que él le ha reportado en iOS y macOS. ¿No recompensa Apple por los bugs encontrados por terceros? Parece que no lo suficiente.
Project Zero de Google es el departamento de encontrar agujeros de seguridad en servicios y productos de terceros. No lo hacen para atacar a estas empresas, sino para avisarles de estos bugs para que los corrijan en un máximo de 90 días antes de hacerlos públicos. Con esto, buscan mejorar la seguridad en Internet. Reportar bugs de seguridad a otras empresas es una práctica común, y existe un "acuerdo mutuo" de darle 90 días a la empresa para corregirlo antes de hacerlo público.
Ian Beer ha encontrado un montón de agujeros de seguridad en los sistemas operativos de Apple, siempre reportándolos y concediéndole a Apple 90 días para arreglarlos. Pero en unas declaraciones recientes, advierte de que lo que paga Apple por el descubrimiento de bugs es inferior a lo que pagan otras empresas. Comenta que por todo lo que él ha reportado, Apple debería haberle pagado unos 2,45 millones de dólares.
El programa de recompensas de Apple
No es la primera vez que se habla del programa de recompensas de Apple. La compañía lo tiene abierto desde hace unos dos años, pero tan sólo se entra por invitación. El pago máximo que Apple ofrece por cada bug encontrado es de 200 mil dólares por vulnerabilidad. Aunque pueda parecer mucho, es relativamente poco teniendo en cuenta lo que ofrecen otras empresas del calibre de Apple.
En consecuencia, muchos investigadores deciden ofrecer estas vulnerabilidades no a Apple sino a otras empresas. Por ejemplo, hace un tiempo vimos cómo una empresa se ofrecía a pagar hasta 3 millones de dólares por exploits en iOS y macOS. Y claro, lo que hagan estas empresas con dichas vulnerabilidades seguramente no sea tan beneficioso para el usuario como lo que podría hacer Apple con ellas.
Vía | Business Insider
En Applesfera | 3 millones de dólares para aquel que encuentre una vulnerabilidad zero-day en iOS o macOS
Ver 20 comentarios
20 comentarios
Uti
No me meto en el artículo, pero que Apple es muy tacaña es un secreto a voces, lo sabemos todos.
sanj
Apple, como todas, tiene 'bugs'. Hay que dejarlo claro, porque no sería raro que muchos comentarios a la noticia fuesen... "Apple... ¡imposible!" "Apple no falla" y similares.
En cuanto a las recompensas por encontrarlos, que la mayor empresa del mundo por capitalización en bolsa, remunere (siempre, según el de Project Zero) menos que otras, es un poco "fuerte", cuando el informar de los "bugs" ayuda a mejorar la seguridad de sus productos, ¿no?
A ver si va a resultar que, aparte de distintas bondades de Apple, parte del origen de su gran valor en bolsa... se hace a costa de escatimar en la remuneración de los que avisan de "bugs" y errores de seguridad. :(
schaff
Y el empleado de Google hace la critica con un MacBook en el atril ....
i_am_jonaslopez
A la caridad no, que se los pague a sus usuarios.
Usuario desactivado
A este señor no le da la cara para decir lo que dice, trabaja para una empresa que roba datos sistemáticamente.
randor
Y yo pregunto, sin quitar los pecados de Apple que son muchos, ¿este señor tiene los santos coxxnes de decir eso cuando trabaja para una empresa que recopila sistemáticamente información de todo lo que ocurre en un teléfono Android? De cinismo va sobrado y que casualidad que la crítica salga de alguien que trabaja en Google.
church1987
pues como todo, si no te gusta los terminos de un servicio pues no lo prestas y ya esta
nadie los obliga a buscarle bugs a apple por poco dinero, para eso se negocian los terminos, asi como se negocia los 90 dias de gracia para que los arreglen, pues se negocia el precio y si no gusta pues no se buscan y ya esta, ya habra otro cliente que si pague lo que se debe pagar
y ya apple se vera obligada a pagar lo que corresponde para que le hagan el trabajo
pero claro es mas facil llorar que obligar a la empresa a que se baje los pantalones
ban_carnage
"Con esto, buscan mejorar la seguridad en Internet"
No entiendo.
El project zero existe para bien de los usuarios o para cobrar las recompenzas que ofrecen las otras compañias? O porqué la queja de éste tipo?