Allmänt

Apple förlorar striden om buggarna — forskare säljer till tredjepart

Hittat en allvarlig sårbarhet i mjukvaran till din iPhone eller Mac? Du skulle kunna rapportera den till Apple och få upp till 200 000 dollar i belöning — eller gå till företag som Zerodium och få hela 1,5 miljoner dollar istället.

De sårbarheter som hittas i Apple mjukvara är så värdefull att säkerhetsforskare som råkar snubbla över något riktigt bra sällan rapporterar dem, åtminstone inte till Apple. Istället behåller de informationen för sig själva eller säljer vidare till någon som betalar stora pengar för upptäckterna.

Denna någon kan vara kända Zerodium som kan betala så mycket som 1,5 miljoner dollar för rätt sårbarheter, eller Exodus Intelligence som betalare upp till 500 000 dollar. Problemet med dessa företag är att de inte bara betalar mycket mer än Apple, de säljer sårbarheterna vidare till regeringar och myndigheter i en rad olika länder. Och vi kan bara gissa vad köparna tänker göra med de möjligheter som erbjuds.

Att företag kan betala nära 13 miljoner kronor för sårbarheter och buggar är dock inte bara negativt. Det visar exempelvis att Apple har lyckats väl med säkerheten kring sina produkter. Annars skulle summorna inte vara skyhöga och säkerhetsforskarna ovilliga att prata med Apple.

Zero-day attacker är mycket allvarliga hot mot Apple & iOS

Säkerheten är så bra att den som överhuvudtaget vill kunna göra något överhuvudtaget med en iPhone måste använda flera så kallade zero-day attacker som Apple inte fixat än. Enligt webbsajten Motherboard kanske även ett fullfjädrat jailbreak.

Ingen vill täppa till buggar om de inte är helt jävla dumma. Bara om de vill döda sin egen framtid […] Om jag dödar min egna buggar kan jag inte göra någon forskning.

Luca Todesco, känd iPhone-hackare.

Och kanske lägger det något i vad Luca säger om riskerna med att rapportera buggar till Apple. I skrivande stund finns inga bekräftade utbetalningar från Apple till någon som rapporterat sårbarheter, något som vittnar om att få verkar vilja prata med Cupertino-företaget om vad de hittar.

Det skulle kunna finnas en gyllene lösning i att Apple ger utvalda säkerhetsforskare tillgång till iPhone-enheter där säkerheten är begränsad. På så vis skulle forskarna kunna få enklare tillgång till systemen de försöker knäcka och dessutom ha en direkt linje till Apple istället för att gömma sig i skuggorna.

Apple måste göra sin röst hörd, höja ersättningarna och faktiskt ge forskarna en möjlighet att hjälpa dem. Om det inte sker är risken att någon hittar en kritisk sårbarhet som på allvar sätter användarna i riskzonen, och säljer den dyrt istället för att göra det som är rätt. Det är inte en fråga om det händer utan när det kommer att ske.

Taggar

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *