Raymon Mens Nieuws 5 augustus 2016, 16:04

Leestijd: 1 minuut

Bug Bounty: Apple beloont hackers voor ontdekte bugs

Beveiligingsonderzoekers die een probleem in iOS vinden, hebben drie keuzes: de bug bij Apple melden en een bedankje krijgen, de bug bij een jailbreak-team melden of deze voor veel geld verkopen aan een bedrijf dat bijvoorbeeld voor de FBI werkt.

Drie keer raden waarom niet alle beveiligingsprobleem bij Apple terecht komen… Gelukkig gaat de iPhone-maker er wat aan doen en lanceert het een ‘Bug Bounty’ beloningsprogramma voor onderzoekers.

Klein begin, fikse vergoedingen

Veel bedrijven (Google, Facebook, Microsoft) gebruiken al een dergelijk beloningsprogramma om de veiligheid van hun producten te versterken, maar Apple bleef achter. Apple begint klein, aanvankelijk staat het programma open voor onderzoekers waar het bedrijf regelmatig mee samenwerkt, maar als een buitenstaander een kwetsbaarheid meldt, kan deze met terugwerkende kracht worden opgenomen. Het zoekveld is beperkt tot bugs in iCloud en iOS. Dit zijn de vergoedingen:

• Beveiligingsproblemen in de boot firmware: $200.000
• Vertrouwelijke data uit de Secure Enclave halen: $100.000
• Kwaadaardige code met kernel permissies uitvoeren: $50.000
• Ongeautoriseerde toegang tot iCloud-data: $ 50.000
• Uit de iOS-sandbox breken: $ 25.000

FBI

De financiële prikkels zijn een manier om deskundigen aan te moedigen om Apple-producten te onderzoeken. Het prikkelt onderzoekers wellicht ook om gevonden beveiligingsproblemen niet langer aan derden te verkopen. Denk aan de iPhone 5c in de San Bernardino-zaak die de FBI kon ontgrendelen dankzij een onbekende kwetsbaarheid die het overheidsorgaan van een derde kocht.

Apple's Ivan Krstić at #BlackHat2016 announces the new bug bounty program, with impressive payouts. pic.twitter.com/KpJ7dTjK02

— Neil Rubenking (@neiljrubenking) August 4, 2016