Bug Bounty: Apple beloont hackers voor ontdekte bugs

Door: Raymon Mens - 4 reacties

Beveiligingsonderzoekers die een probleem in iOS vinden, hebben drie keuzes: de bug bij Apple melden en een bedankje krijgen, de bug bij een jailbreak-team melden of deze voor veel geld verkopen aan een bedrijf dat bijvoorbeeld voor de FBI werkt.

Drie keer raden waarom niet alle beveiligingsprobleem bij Apple terecht komen… Gelukkig gaat de iPhone-maker er wat aan doen en lanceert het een ‘Bug Bounty’ beloningsprogramma voor onderzoekers.

Klein begin, fikse vergoedingen

Veel bedrijven (Google, Facebook, Microsoft) gebruiken al een dergelijk beloningsprogramma om de veiligheid van hun producten te versterken, maar Apple bleef achter. Apple begint klein, aanvankelijk staat het programma open voor onderzoekers waar het bedrijf regelmatig mee samenwerkt, maar als een buitenstaander een kwetsbaarheid meldt, kan deze met terugwerkende kracht worden opgenomen. Het zoekveld is beperkt tot bugs in iCloud en iOS. Dit zijn de vergoedingen:

  • Beveiligingsproblemen in de boot firmware: $200.000
  • Vertrouwelijke data uit de Secure Enclave halen: $100.000
  • Kwaadaardige code met kernel permissies uitvoeren: $50.000
  • Ongeautoriseerde toegang tot iCloud-data: $ 50.000
  • Uit de iOS-sandbox breken: $ 25.000

FBI

De financiĆ«le prikkels zijn een manier om deskundigen aan te moedigen om Apple-producten te onderzoeken. Het prikkelt onderzoekers wellicht ook om gevonden beveiligingsproblemen niet langer aan derden te verkopen. Denk aan de iPhone 5c inĀ de San Bernardino-zaak die de FBI kon ontgrendelen dankzij een onbekende kwetsbaarheid die het overheidsorgaan van een derde kocht.

Reacties

4 reacties
  • Profielfoto
    Lars34

    Ik had verwacht dat het kraken van de secure enclave het meeste zou opleveren.

  • Profielfoto
    Shmoo

    Eindelijk.. Beter laat dan nooit.

    Nu nog een beloningsprogramma voor goede adviezen en ideeƫn, of zet Shmoo gewoon op de loonlijst van Apple Inc. voor een tonnetje of 6 per jaar dan komt het ook wel goed.

  • Profielfoto
    MichaelDeBoey

    Dat werd wel eens tijd:-)

  • Profielfoto
    janvanes

    Het gaat dus niet over bugs, maar over “security vulnerabilities” – veiligheidsgaten. Wel een verschil, lijkt me.