Никто не хочет сообщать Apple об уязвимостях iPhone

[lash05]

Кстати, далеко не факт, что если Apple повысит цены на эксплойты до уровня серого рынка, то это решит проблему

— смотря что тут считать проблемой: необходимость платить или незащищенность пользователей.

[Loki3000]

Ну и куда вы продадите джейлбрейк — в Apple за $200 тыс. или в Zerodium за $1,5 млн?

Итого 1,7 млн?:)

[San_tit]

За 1.7$ тазик с цементом в подарок

[nerudo]

Зато сам эпл может по 1,3 млн на каждом поднимать ;)

[Loki3000]

Им их необязательно покупать — можно же самим делать;)

[nerudo]

А вот за такое и канделябром можно!

[zoas]

Вот интересно, накладываются ли какие-либо штрафы на программиста Apple, если его код имел уязвимость, за которую компания заплатила по программе bug bounty.

[redmanmale]

Здравый смысл подсказывает, что нет.

[dmitry_ch]

Ну плюс можно попробовать еще немного срубить у ЦРУ, ФБР и АНБ.

[MrA]

Если Apple повысит цены, то 0day для iOS станут ещё более редкими

Не вижу, что от этого кто-то проигрывает

[Shmulinson]

Не вижу, что от этого кто-то проигрывает

В данном случае это не негативный факт а причина дальнейшего повышения цен на них на сером рынке.

[impetus]

при таких цена уже надо опасаться закладок/бэкдоров от разработчиков, в т.ч. аппаратных, в т.ч на других микрухах комплекта, работающих ниже ОСи (привет от Intel ME)

[redmanmale]

Может поэтому Эппл сама железо делает.

[dolovar]

Выбор заключается не только в вопросе «полтора или пятая часть». Попутно нужно ответить на еще один вопрос: вы хотите получить деньги законным путем через вознаграждение, или вы хотите попытаться стрясти полтора ляма с мафии?

[Goodkat]

А Zerodium — это мафия?

Zerodium is an American information security company founded in 2015 based in Washington, D.C..

Всё легально — получите эти деньги за оказание консультационных услуг, ещё и налоги придётся заплатить :)
А они уже дальше перепродадут — в NSA, FBI, KGB…

[impetus]

Если легально — то Apple их возможно отсудит. Типа уязвимости в нашем коде являются неотъемлемой частью нашего кода, на который распространяются все авторские и прочие смежные права.

[SolarW]

Авторские права на дырки?
Это оригинально, никогда не думал о такой постановке вопроса :-)
Может сразу (как эпл это любит) сразу и патенты на них оформлять? :-))

[edogs]

А impetus интересный вопрос поднял.
Реверс-инжиниринг запрещен как таковой (договором, авторскими правами и т.д.).
Значит дыры найденные в результате реверс-инжиниринга суть есть продукт незаконной деятельности.
По любым законам доход полученный в ходе незаконной деятельности в руках нарушителя закона не остается.

[MiXaiL27]

Законами какой страны запрещен? Покупая гамбургер в макдональдсе я не вхожу в юридическое пространство владельца вендора.

[mickvav]

А в каком месте авторские права мешают реверс-инжинирингу? Это модифицировать прошивку и распространять измененную версию как свою — нарушение авторского права. А описание процедуры получения root-а на собственном устройстве — вполне себе взаимодействие с имеющимся программно-аппаратным комплексом. Закон тут вроде ничего не запрещает?

[blackswanny]

Суд не может доказать, что дыра была найдена посредством реверс инжениринга.Потребовать рассказать суд может, Но автор может отказаться сославшись на раскрытие тайны авторского права. Если и в этом случае суд попросит раскрыть ее, то автор может выторговать для себя "помилование" при раскрытие. Это же США, прецедентное право, тут можно все

[Gendalph]

Соль вот в чем: нельзя использовать код защищенный авторскими правами, а вот если его разобрать и написать код, делающий то же самое — это уже другой код, не являющийся собственностью автора оригинального продукта.

[VovanZ]

У Apple очень большие запасы денег в банках. Через скрытные дочерние компании она вывела в офшоры более $200 млрд. Эти деньги вполне можно использовать. Apple с лёгкостью может повысить награду за эксплойты настолько, что криминал (мафия, преступные группировки) не смогут с ней тягаться.

Apple вполне может сама покупать уязвимости (хоть у того же Zerodium) через подставные компании. Кстати, а откуда мы знаем, что они так не делают?

[blackswanny]

Это такой же свободный рынок, как и все остальные. Все честно. Если эппл все еще выгоднее, чем другим, они заплатят миллионы. Пока эппл так не считает. Хотя заработав на продукте миллиарды и риск потерять эти миллиарды в будущем, я бы на их месте подумал дважды насчет награды

[zoonman]

Просто в Apple не дураки работают, им выгоднее потратить миллион на сотрудника, который будет обеспечивать контроль качества кода на таком уровне, что взламывать его будет практически невозможно.

[Karpion]

Похоже, у Вас — типичная проблема современного человека, избалованного магазинами, в которых продаются стандартные предметы по предсказуемой цене. И многие современные люди не понимают, что далеко не все вещи можно купить — просто выделить из бюджета нужную сумму и получить желаемое.

В данном случае Вы неявно полагаете, что можно заплатить миллион (не совсем понятно, чего именно — наверно, USD) и (за)получить сотрудника, способного (и желающего) обеспечить качество.

Увы, я вынужден Вас разочаровать: даже если Вы выдадите/выделите нужную сумму, то на эту сумму сбегутся разные фуфлыжники, которые радостно пообещают Вам обеспечить контроль качества кода на нужном уровне, но эти обещания изначально пустые. Более того: я готов утверждать, что сбежавшиеся на запах денег люди не только не могут этого обеспечить — они ещё и прекрасно знают, что их обещания ложные, т.е. они и не собираются исполнять свою часть контракта. Они собираются говорить умные слова и получать хорошую зарплату — до тех пор, пока их не выгонят. И они надеются, что те, кто примут их на работу, не захотят признаваться в том, что приняли на работу фуфлогонов.

Хуже того: среди тех, кто придёт устраиваться на такую работу, скорее всего, вообще не будет людей, способных обеспечивать контроль качества кода на нужном уровне. Просто потому, что с момента успеха Билла Гейтса учебные заведения учат людей не обеспечивать контроль качества кода на нужном уровне, а впаривать заказчикам код низкого качества.

И весь ужас ситуации в том, что на её исправление требуется очень много времени — более десяти лет. И никто (ни капиталисты, ни политики) не готовы затевать проект, который даст результат так поздно — когда инициатор проекта, скорее всего, уже вышел из дела и не получит никакой награды за свои труды.

[zoonman]

Вы работаете или работали в Apple?

[Karpion]

Наверно, Вы не заметили, что я никоим образом не упоминал Apple — данная проблема абсолютно универсальна для всех систем, включая MicroSoft Windows, IBM, Berkley *BSD и Linux.

У MicroSoft денег не меньше. Ну и почему они не наняли таких людей, "которые будет обеспечивать контроль качества кода на таком уровне, что взламывать его будет практически невозможно"?

[lubezniy]

Впаривать код низкого качества таки не учат. Учат делать по возможности быстро, чтобы в условиях ограниченного рынка больше получить. А вот со способами быстрого изготовления качественного кода напряжёнка.

[Karpion]

Введу поправку: В учебных заведениях учат, что при дилемме
{"делать быстро тяп-ляп" или "делать медленнее, но качественно"}
учат делать выбор в сторону скорости разработки и выпуска продукта на рынок.

Это значит, что способам делать качественный код не учат вообще — ибо:

• делать качественный код быстро — невозможно;
• делать качественный код медленно — невыгодно, а значит, не нужно.

[tronix286]

А чо им сообщать — они и так все знают, знают как смартфоны чинить, знают как софт ставить за $$$. За такое бабло должны сами себе дефейсы отлизывать. Потому что унылое гавною

[amarao]

А по какому признаку можно определить — вооружённое банд-формирование — это преступники или правительственная спецслужба?