O melhor pedaço da Maçã.
Chris Kindred/Motherboard
Ilustração mostrando um inseto na cabeça de uma pessoa olhando por um binóculo

Desenvolvedores criticam recompensas da Apple por bugs

Há pouco mais de dois anos, a Maçã anunciou o Apple Security Bounty, um novo programa de recompensa para desenvolvedores/hackers que encontram e relatam falhas e bugs nos seus produtos e serviços.

Publicidade

O programa, com pagamentos muito maiores e outros benefícios em relação ao que a empresa oferecia anteriormente, chegou como uma forma de melhorar as (sempre estremecidas) relações da Apple com a comunidade da cibersegurança. O problema é que, duas primaveras depois, parece que a iniciativa de Cupertino não surtiu muito efeito — pelo contrário.

Uma matéria recente do Washington Post contrapôs declarações de Ivan Krstić, chefe de engenharia de segurança da Apple (e um dos responsáveis pelo programa de recompensas), com testemunhos de pesquisadores que já participaram da iniciativa. Segundo Krstić, o programa é um “sucesso absoluto”, e a Apple pagou quase o dobro em recompensas neste ano em comparação ao anterior — além de liderar a média da indústria nessas somas.

A comunidade, por outro lado, pinta um cenário completamente diferente — até mesmo nos números: no período de 12 meses iniciado em julho de 2020, a Microsoft pagou US$13,6 milhões por bugs encontrados nos seus produtos. O Google, por sua vez, pagou US$6,7 milhões ao longo de 2020, enquanto a Apple desembolsou US$3,7 milhões. Segundo Krstić, o número deverá subir este ano.

Publicidade

Os pagamentos, entretanto, são apenas parte do problema. Os desenvolvedores queixam-se de uma indisposição generalizada da Apple de atender os pesquisadores, com uma comunicação pouco clara, tempos de espera inaceitáveis, termos indefinidos sobre quais tipos de falhas rendem pagamentos ou não e outros problemas.

Parte da questão está na própria cultura obsessiva por segredos instalada em Cupertino. Muitas vezes, os pesquisadores sequer têm como saber se os problemas encontrados já foram identificados internamente pela Maçã, porque não há uma lista publicamente acessível de falhas corrigidas e a comunicação com os engenheiros da empresa é muito inconstante.

Essa insatisfação também se estende ao posicionamento público da Apple na sua relação com a comunidade. Gigantes como Google, Microsoft e Facebook destacam com frequência os pesquisadores que descobrem falhas nos seus sistemas, falam sobre as recompensas em sua comunicação oficial, realizam eventos e oferecem recursos para suas respectivas iniciativas, dando uma sensação de que realmente valorizam o trabalho dos pesquisadores.

Publicidade

A Apple, por outro lado, prefere esconder essa parte das suas operações — como se fosse uma admissão de fraqueza reconhecer que, como qualquer outra empresa de tecnologia, seus produtos também são suscetíveis a falhas.

As consequências desse conflito nós já sabemos e já falamos sobre várias vezes: em uma série de ocasiões, os pesquisadores optam por vender suas descobertas no mercado paralelo em vez de relatá-las à Apple. E isso pode ter consequências: segundo Katie Moussouris, CEO1Chief executive officer, ou diretor executivo. e fundadora da Luta Security, a má reputação da Maçã na comunidade de cibersegurança poderá gerar “produtos menos seguros para seus consumidores e mais custo no futuro”.

Vários outros casos — e queixas — podem ser lidos na reportagem do Washington Post. Que situação, hein?

Notas de rodapé

  • 1
    Chief executive officer, ou diretor executivo.

Ver comentários do post

Compartilhe este artigo
URL compartilhável
Post Ant.

Facebook lança óculos inteligentes em parceria com a Ray-Ban

Próx. Post

Conta digital americana da Nomad agora tem cartão físico

Posts Relacionados