محمد بختیاری

اپل برای کشف و گزارش باگ‌ها تقریباً ۵ برابر بیشتر از سامسونگ پاداش می‌دهد

مطالعه‌ی جدیدی نشان می‌دهد پروژه‌ی باگ باونتی (کشف و اطلاع‌رسانی باگ‌ها) اپل به ازای هر آسیب‌پذیری، در مقایسه‌ با سامسونگ تا پنج برابر درآمد بیشتر عاید توسعه‌دهندگان می‌کند. باوجوداین همچنان شماری از توسعه‌دهندگان انگشت انتقاد را سمت اپل گرفته‌اند و ادعا می‌کنند شرکت کوپرتینویی بابت گزارش آسیب‌پذیری‌های صفر روزه از آن‌ها قدردانی نکرده است.

مطابق آنچه 9to5Mac می‌نویسد، Atlas VPN در مطالعه‌ای متوجه شده اپل به کسانی که آسیب‌پذیری امنیتی در سرویس‌هایش پیدا کنند بین ۱۰۰ هزار دلار تا یک میلیون دلار پاداش می‌دهد. این در حالی است که سامسونگ ازطریق پروژه‌ی باگ باونتی خود بین ۲۰۰ دلار تا ۲۰۰ هزار دلار به توسعه‌دهندگانی می‌دهد که آسیب‌پذیری در سرویس‌هایش کشف کنند.

از طرفی گفته می‌شود پروژه‌ی باگ باونتی هواوی شامل پاداش ۲۰۰ دلار تا ۲۲۳ هزار دلار است. برنامه‌ی باگ باونتی شیائومی و وان پلاس حداکثر ۱۳ هزار دلار و هفت هزار دلار عاید توسعه‌دهندگان می‌کند.

شرکت‌های بزرگ عموماً پاداش مناسبی برای برنامه‌ی باگ باونتی در نظر می‌گیرند تا توسعه‌دهندگان ترغیب شوند به‌جای فروش جزئیات آسیب‌پذیری امنیتی به افراد سودجو، اطلاعات را دراختیار خود شرکت‌ها قرار دهند و درآمد خوبی به جیب بزنند.

مقایسه پاداش برنامه باگ باونتی اپل / Apple با سامسونگ و هواوی و شیائومی

Atlas VPN می‌گوید این داده‌ها براساس اطلاعاتی که به‌صورت عمومی دردسترس هستند اعلام شده است. گرچه اپل نسبت‌ به سامسونگ و دیگر شرکت‌های نمودار بالا پاداش بیشتری به توسعه‌دهندگان می‌دهد، پروژه‌ی باگ باونتی این شرکت بدون انتقاد نبوده است.

در سال ۲۰۱۷ محققان امنیتی بابت پاداش کمی که اپل در ازای کشف باگ به آن‌ها پرداخت کرده بود از این شرکت انتقاد کردند. اپل در سال ۲۰۲۱ مدیر جدیدی استخدام کرد تا تغییراتی اساسی در پروژه‌ی باگ باونتی خود اعمال کند، چون محققان امنیتی بارها نارضایتی خود را اعلام کرده بودند.

واشینگتن پست مدتی پیش در گزارشی نوشت یکی از توسعه‌دهنده‌های iOS به نام تیان ژانگ جزئیات چندین باگ را برای اپل فرستاده و هرگز پاداشی دریافت نکرده است. ظاهراً ژانگ در سال ۲۰۱۷ برای اولین بار جزئیات یک آسیب‌پذیری نرم‌افزاری را برای اپل فرستاده و چند ماه منتظر مانده تا شرکت کوپرتینویی آسیب‌پذیری را برطرف کند؛‌ بااین‌حال در نهایت صبرش را از دست داده و یافته‌های خود را در وبلاگش منتشر کرده است.

مقاله‌های مرتبط:

تیان ژانگ می‌گوید دومین باری که باگ کشف کرده جزئيات آن را برای اپل فرستاده، بااین‌حال تولیدکننده‌ی آیفون پس از برطرف کردن مشکل امنیتی هیچ پاداشی به او نداده است.

ژانگ می‌گوید باری دیگر یک آسیب‌پذیری پیدا کرده که لایق دریافت پاداش بوده است. ظاهراً اپل سریعاً مشکل امنیتی را رفع کرده و مجدداً هیچ پاداشی به ژانگ نداده است.

اپل همچنین تیان ژانگ را از فهرست توسعه‌دهندگان (Apple Developer Program) خارج کرده است. توسعه‌دهندگان به‌منظور انتشار اپلیکیشن در اپ استور باید حتماً عضو Apple Developer Program باشند.

زمان زیادی از انتشار گزارش واشینگتن پست نگذشته بود که 9to5Mac نیز در گزارشی مشابه تجربیات ناخوشایند یک توسعه‌دهنده‌ی دیگر را به اشتراک گذاشت. این توسعه‌دهنده مدعی شد یک آسیب‌پذیری صفرروزه در سرویس‌های اپل پیدا کرده و گزارش آن را برای شرکت کوپرتینویی فرستاده است؛ اما اپل به این توسعه‌دهنده نیز پاداشی پرداخت نکرد.

پاسخی بنویسید