NY Times は 、FBIがAppleマネージャーと会うことになっている最近予定された試験が、iDeviceから暗号化されたデータを抽出する独自の方法をFBIに提供している会社により延期されたと指摘します。 このトピックは、セキュリティ企業がiOSの脆弱性を探し、Appleに通知せずに特別なサービスにエクスプロイトを販売することを強制するバグ報奨金プログラムの欠如の問題を再び提起しました。
これまで、多くの企業は、製品やサービスの脆弱性を発見したことに対して、セキュリティ研究者に現金報酬を支払っています。 前述のGoogleとMicrosoftに加えて、Facebook、Twitter、Mozilla、Yandex、Uberなどの他の企業にもバグの恩恵があります。 Googleはすでに発見された脆弱性に対して600万ドル以上のセキュリティ研究者に支払いを行っています。 同社はまた、Chromebookの深刻な脆弱性を検出するために10万ドルを提供しています。
また、Microsoftには独自のバグバウンティシステムがあり、WebブラウザーまたはOSの重大な脆弱性を検出するために10万ドルを支払います。たとえば、このような場合には、いわゆるいわゆる脆弱性を回避できる概念的な脆弱性が含まれます。 デフォルトでエクスプロイトをブロックするためにWindowsが使用する軽減方法(DEP、ASLR、CFG、SEHOPなど)。 このような大きなバグ賞金の勝者の1つは、 @ tombkeeperの有名な専門家であるTencent Xuanwu Lab です 。
このようなプログラムを提供していないAppleはこの状況を受け入れられません。つまり、スカウトが脆弱性を探すように刺激することはなく、企業としてのAppleの評判に影響します。 セキュリティ情報に名前を含めることに加えて、記者は会社から何も受け取りません。
図 セキュリティ発表ニュースレター(APPLE-SA-2016-03-21-5 OS X El Capitan 10.11.4およびセキュリティアップデート2016-002)の一部。AppleはiMessageの重大な脆弱性の修正を発表します。 脆弱性の詳細はこちらをご覧ください 。
これにより、さまざまなベンダーの製品の脆弱性を専門とするセキュリティ会社が、エクスプロイトを販売のために保持し、会社に通知しないようにすることが有益であるという状況が生じます。 最近の出来事は、法執行機関のイニシアチブで、Appleとの訴訟が、iDeviceハッキングツールを提供し、パスコードを知らずにそこからデータを抽出するというこれらのFBI会社の提案により延期されたことを確認しました。
以前、米国でのテロ攻撃に関連して、特別なサービスはiOSを実行しているデバイスからデータを解読するツールを取得するための法的根拠を得たいと考えていました。 Appleはこの状況に同意せず、法廷に持ち込まれただけでなく、社会での大きな論争もありました。 AppleはiOSにバックドアを挿入することを急いでいません。これは、ユーザーにどのようなresみが生じるかを理解しているためです。 従業員はまた、会社が譲歩した場合、アップルを解雇すると脅します。