Apple maksaa tietoturvahaavoittuvuuksien löytämisestä palkkioita osana omaa niin sanottua bug bounty -ohjelmaansa. Parhaimmillaan Applen mukaan se voi maksaa haavoittuvuudesta jopa kaksi miljoonaa dollaria.
Nyt yksittäinen tietoturvatutkija on kuitenkin nostanut esiin oman tapauksensa erityisen vakavasta haavoittuvuudesta, josta maksettu palkkio jäi yllättävän pieneksi.
MAINOS (ARTIKKELI JATKUU ALLA)
Macworld-sivusto kertoo, kuinka tietoturvatutkija nimimerkillä RenwaX23 julkaisi X-palvelussa tiedon löydöksestään. Universal Cross-Site Scripting -haavoittuvuus (UXSS) Safarissa mahdollisti hyökkääjälle pääsyn käsiksi käyttäjän iCloud-tietoihin ja jopa iOS:n Kamera-sovellukseen. Apple arvioi haavoittuvuuden vakavuudeltaan kriittiseksi ja antoi sille 9,8/10 pistettä CVSS-arviointiasteikolla.
CVE-2025-30466-koodilla merkitty haavoittuvuus korjattiin Safari 18.4 -versiossa, joka julkaistiin maaliskuussa iOS ja iPadOS 18.4:n ja macOS Sequoia 15.4:n osana.
Haavoittuvuuden vakavuudesta huolimatta RenwaX23 sai löydöstään kuitenkin vain 1 000 dollarin palkkion Applelta.
MAINOS (ARTIKKELI JATKUU ALLA)
Apple päivitti bug bounty -ohjelmaansa vuonna 2022 ja kertoi tuolloin maksavansa keskimäärin 40 000 dollarin palkkioita. Lisäksi Apple kertonut maksaneensa kuusinumeroisia summia ainakin 20 kertaa erityisen merkittävistä löydöksistä – mukaan lukien 175 000 dollarin palkkion opiskelijalle, joka onnistui kaappaamaan sekä Macin että iPhonen kamerat.
Nyt kriittisestä haavoittuvuudesta nähty matala palkkio herättää kysymyksiä Applen kriteereistä. Yksi mahdollinen selitys voi olla se, että haavoittuvuuden hyödyntäminen vaati käyttäjän vuorovaikutusta – esimerkiksi linkin avaamista. Tämä on yksi Applen virallisesti ilmoittamista tekijöistä, jotka vaikuttavat korvauksen suuruuteen.
RenwaX23 ei kuitenkaan ole ainoa tietoturvatutkija, joka kokee tulleensa aliarvioiduksi. Eräs toinen tutkija kommentoi saaneensa vain 5 000 dollarin palkkion haavoittuvuudesta, joka olisi hänen mukaansa kuulunut Applen oman taulukon mukaan 50 000 dollarin kategoriaan.
Applen kitsautta palkkioissa on arvosteltu sen aiheuttamien riskien vuoksi. Liian pienet palkkiot voivat kannustaa tutkijoita myymään löytönsä pimeille markkinoille, joissa kriittisistä iOS- ja macOS-haavoittuvuuksista voidaan maksaa jopa miljoonia dollareita.
MAINOS (ARTIKKELI JATKUU ALLA)
Apple ei toistaiseksi ole kommentoinut viimeisi
Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla
Salasana hukassa?
Etkö ole vielä rekisteröitynyt? Rekisteröidy tästä »