A szoftveres termékfejlesztés nagy előnye, hogy a késznek tartott programot a később kiderült hibák függvényében viszonylag könnyű módosítani, javítani. Ez persze egyben átka is, hiszen a fejlesztők hajlamosabbak a minőségbiztosítást lazábban venni, ha szorít a megjelenés határideje, mondván, később egy patch-csel majd megfelelő állapotba kerül a termék. Az early adopter felhasználó pedig moroghat, hogy már megint bétatesztelőnek használják.

Kicsit nehezebb a helyzet, ha fizikailag kézzelfogható dolgokat kell javítani, például processzorokat. Ilyenkor többnyire csak az segít, hogy az újabb kiadásokból eltüntetik a régebbiek hibáit, hiszen a már felhasználóknál levő példányokat nem feltétlenül lehet távolról módosítani. Ez persze még mindig sokkal jobb termékéletciklus-kezelés, mintha figyelmen kívül hagynák az esetlegesen felbukkanó problémákat.

Nagy piaci penetráció, nagy felelősség

A biztonsági hibákért egyre több cég hajlandó fizetni – a Facebook 5 év alatt így közel ezer sérülékenységet tudott kiiktatni rendszeréből -, azért cserébe, hogy a kódban rejlő, nyilvánosság előtt még ismeretlen sebezhetőségek először a fejlesztőhöz jussanak el, ne pedig a feketepiacon kössenek ki. Ezt a gyakorlatot tette magáévá a Qualcomm, amikor feliratkozott a HackerOne programra. A mobilprocesszorokat fejlesztő cég akár 15 ezer dollárral is hajlandó honorálni a harmadik fél által fellelt sebezhetőségekért.

A Snapdragon 400, 615, 801, 805 808, 810, 820 és 821 processzoraira vonatkozóan hirdetett bugvadász kampányt a vállalat, illetve néhány modemjét - X5, X7, X12, X16 LTE - is bevonta ebbe a körbe. És nagyon is jól teszi, hiszen a vállalat az LTE piac nagyjából kétharmadát tudhatja magáénak. Ez azt jelenti, hogy például az augusztusban tartott Def Conon nyilvánosságot kapott Quadrooter hiba közel 900 millió(!) készüléket érint.

Google, Samsung, Motorola, LG, ZTE, Sony, Asus, HTC, HP – a legnevesebbek azok közül, akik a Qualcomm fejlesztéseire támaszkodnak saját okostelefonjaikban. Ezen készülékek tulajdonosai profitálhatnak a HackerOne-on futó programból.

A fehérkalapos (white hat) hackereknek viszonylag tág mozgásterük van, de az azért kikötés, hogy nem elég csupán lefagyasztani egy processzt, a hibának lehetővé is kell tennie, hogy egy támadó kódot futtathasson a kiszolgáltatottá vált rendszeren.

Bevett gyakorlat

Fizetett hackerekkel akarja feltárni informatikai és kommunikációs rendszerének a gyengéit az Uber, azaz sok cég, köztük Facebook, Yahoo! vagy a Google után ők is bevezetik az ún. "bug bounties" gyakorlatát, írtunk róla még márciusban. A táborhoz aztán augusztusban csatlakozott az Apple, bár ők sokáig húzódtak „vérdíjat” fizetni. Volt ugyan egy meghívásos rendszerű gyakorlatuk, de abba csak azok a kutatók tudtak bekerülni, akik már adtak az Apple-nek fontos sérülékenységekről információkat. A teljes nyitásnak ugyanis szerintük nem volt értelme, mert a feketepiac és a kormányzati szervek amúgy is túllicitálják a vállalatokat.

Ebben végül igaza lett az almás cégnek. Az Exodus Intelligence alig pár nappal az Apple bejelentése után azzal állt a nyilvánosság elé, hogy akár több mint a dupláját, bizonyos feltételek esetén félmillió dollárt is hajlandó kifizetni egy, az iOS 9.3-ban (vagy annál újabb mobil operációs rendszerben) talált, korábban ismeretlen biztonsági résről szóló információért.