マイク・ピーターソン
· 1分で読めます
iOS エンジニアは、ガイドラインに適合していると思われる脆弱性に対する報酬を受け取れなかったため、Apple のセキュリティ報奨金プログラムに「騙された」と感じていると述べている。
スイス連邦鉄道のiOSエンジニア、ニコラス・ブルンナー氏は月曜日、Mediumへの投稿で報奨金プログラムでの体験について語った。ブルンナー氏によると、彼は2020年3月にiOS 13に悪用可能な脆弱性を発見したという。
この脆弱性により、アプリはユーザーの同意なしに位置情報を恒久的に収集することが可能になる。ブルナー氏によると、この脆弱性はiOSプロジェクトに取り組んでいる際に発見されたという。
「特にここ数年、Appleがプライバシーを重視してきたことを考えると、これは私にとって重大な問題のように思えた」とブルナー氏は書いている。
ブルンナー氏はデモアプリを作成し、Appleの報奨金プログラムに提出しました。この脆弱性はiOS 14で修正され、Appleはセキュリティリリースノートでブルンナー氏を功績として認めました。しかし、ブルンナー氏はこの脆弱性に対する報酬は一切受け取っていないと述べています。
開発者はAppleのセキュリティチームと8ヶ月間にわたりやり取りを続けましたが、最終的にAppleから報酬は支払われなかったとブルナー氏は述べています。さらに、Appleが最後に送ったメールでは、この問題はプログラムのガイドラインに記載されているカテゴリに該当しないため、セキュリティ報奨金の対象にはならないと述べられていたとされています。
ブルナー氏はこの評価に異議を唱え、通常はプロンプトで保護される「正確な位置情報」へのアクセスを、報奨金の対象となる脆弱性として Apple が挙げていると指摘している。
「正直に言うと、今は奪われたと感じています」とブルナー氏は書いた。「しかし、この安全保障プログラムが双方にとってwin-winの関係となることを、私は今でも願っています。」
Appleは長年、特定のOSを対象としたバグ報奨金プログラムを実施してきましたが、しばらくの間は招待制でした。2019年、同社はこのプログラムをすべての開発者とセキュリティ研究者に開放し、対象範囲をすべてのOSに拡大しました。
クパチーノを拠点とするこのテクノロジー大手は、過去にも注目を集めた脆弱性に対して報奨金を支払っており、その中には「Appleでサインイン」のバグに対する10万ドルの報奨金も含まれている。
毎週配信のAppleInsider PodcastでAppleの最新情報をチェックしましょう。AppleInsider Dailyからも最新ニュースをいち早くお届けします。HomePod miniに「Hey Siri」と話しかけ、これらのポッドキャストや最新のHomeKit Insiderエピソードをリクエストしてください。
広告なしのメインの AppleInsider Podcast を体験したい場合は、Apple の Podcast アプリから月額 5 ドルで購読するか、他の Podcast プレーヤーをご希望の場合は Patreon 経由で購読することで、AppleInsider Podcast をサポートできます。
