Apple e il programma ricompense dei bug: ritardi nei pagamenti, ricompense non pagate e scarsa comunicazione

Da ormai qualche anno Apple ha avviato un programma di ricompense pensato per corrispondere un premio in denaro a quei ricercatori di sicurezza che scoprono e segnalano bug critici nei sistemi operativi della Mela. Sembra però che il programma non funzioni a dovere, almeno secondo quanto emerge dalle informazioni provenienti da svariati ricercatori e raccolte dal Washington Post.

E ciò che emerge dal materiale raccolto dal Washington Post è che Apple è lenta nell'effettuare le correzioni per i bug segnalati e che non sempre corrisponde i premi che sarebbero dovuti. In generale gli sviluppatori intervistati segnalano una comunicazione non ottimale da parte del team che gestisce il programma di ricompense e un certo grado di mancanza di fiducia con riscontri spesso inesistenti o lacunosi, anche sul perché una ricompensa viene pagata o meno. Insomma, secondo gli sviluppatori raggiunti dal Post, l'iniziativa dovrebbe essere completamente rivista. Del resto tra i valori più importanti quando si tratta di sicurezza informatica vi sono proprio l'apertura e la libera circolazione di informazioni, due aspetti che non sono esattamente presenti nella cultura di Apple, improntata sulla segretezza e sul riserbo.

Questo tipo di iniziative, note anche con il nome di "bug bounty", sono abbastanza diffuse tra le grandi aziende tecnologiche. Il concetto di base è semplice: ogni prodotto o servizio realizzato, per quanto accuratamente, può contenere piccole o grandi falle potenzialmente in grado di causare gravi problemi di sicurezza. Per evitare che uno sviluppatore indipendente possa essere tentato di vendere il bug a terzi, le società offrono ricompense in denaro così da incentivar loro a comunicare la scoperta all'azienda, in maniera che possa essere risolta prima che diventi di pubblico dominio. Secondo le informazioni disponibili nel 2020 Apple ha corrisposto un totale di 3,7 milioni di dollari nel contesto del suo programma bug bounty, a fronte dei 6,7 milioni pagati da Google e dei 13,6 milioni pagati da Microsoft.

Il programma bug bounty di Apple promette ricompense che vanno da $ 100.000 a $ 1.000.000 per le segnalazioni di bug particolarmente gravi, e Apple fornisce anche ad alcuni ricercatori iPhone speciali dedicati alla ricerca sulla sicurezza. Questi iPhone hanno meno restrizioni rispetto ai dispositivi consumer e sono progettati per agevolare la scoperta di vulnerabilità e punti deboli della sicurezza.

Il Post ha citato vari casi di bug, anche piuttosto delicati, che sono stati segnalati ad Apple e in cui la Mela ha fornito scarso riscontro agli sviluppatori o ha corretto le vulnerabilità dopo molto tempo. In alcune situazioni le ricompense non sono state corrisposte, con Apple che ha addotto una generica motivazione come "il bug segnalato non si classifica nelle categorie per una ricompensa".

Il Washington Post ha contattato Ivan Krstić, responsabile Security Engineering and Architecture per Apple, il quale ha dichiarato che la società ha raddoppiato nel 2020 l'importo pagato in premi rispetto al 2019, e che la società sta ancora lavorando per ampliare il programma e offrire nuove ricompense in futuro: "Stiamo pianificando di introdurre nuovi premi per i ricercatori, per continuare ad espandere la partecipazione al programma, e stiamo continuando a studiare percorsi per offrire strumenti di ricerca nuovi e migliori che soddisfino il nostro rigoroso modello di sicurezza della piattaforma leader del settore".

Katie Moussuris, CEO e fondatore di Luta Security che ha collaborato con il Dipartimento della Difesa USA e con Microsoft per creare i loro primi programmi bug bounty, ha commentato: "Devi avere un valido meccanismo interno di risoluzione dei bug prima di poter tentare di avere un programma di bug bounty. Cosa ti aspetti che possa accadere se riportano un bug che tu già conosci ma non hai risolto? O se ne viene segnalato uno che richiede 500 giorni per essere risolto?"

"Quando commettiamo errori lavoriamo sodo per correggerli rapidamente, e impariamo da essi per migliorare rapidamente il programma", ha dichiarato Krstić.