Hacker wil dat Apple 2,5 miljoen dollar aan goed doel geeft

Door: Night - 4 reacties

Maak je geen zorgen. Apple is niet gehackt en het bedrijf uit Cupertino wordt ook niet afgeperst. Maar een (ethische) hacker wil Apple-CEO Tim Cook wél overhalen om 2,5 miljoen dollar aan een goed doel te geven. Dit als tegenprestatie voor beveiligings­problemen in iOS die hij in de afgelopen jaren heeft gerapporteerd.

Het gaat om Ian Beer. Hij is lid van Google’s Project Zero-team dat zich richt op het ontdekken van beveiligingslekken in besturingssystemen. Daarbij hanteert het team de regel dat, als er niet binnen 90 dagen een bugfix wordt uitgebracht, de bug openbaar wordt gemaakt. Het doel is het hele internet veiliger te maken door bedrijven te dwingen lekken snel te dichten.

Apple’s Bug Bounties

Apple heeft een premie-systeem dat geld uitkeert aan ethische hackers en beveiligingsonderzoekers wanneer zij een bug ontdekken. In vaktermen heet dit een Bug Bounty. Het systeem dat Apple hanteert, is echter alleen op uitnodiging. Aangezien Beer voor Google werkt, komt hij niet voor het programma in aanmerking. Toch heeft hij diverse bugs in iOS keurig aan Apple gerapporteerd. Sterker nog: mocht Beer wél lid zijn geweest van het Bug Bounty-programma, dan zouden de opbrengsten zo’n 1,23 miljoen dollar zijn geweest. Dit zijn de bedragen die Apple uitkeert:

  • Beveiligingsproblemen in de boot firmware: $200.000
  • Vertrouwelijke data uit de Secure Enclave halen: $100.000
  • Kwaadaardige code met kernel permissies uitvoeren: $50.000
  • Ongeautoriseerde toegang tot iCloud-data: $50.000
  • Uit de iOS-sandbox breken: $25.000

Donatie aan goed doel

Als een hacker of onderzoeker besluit het bedrag aan een goed doel te geven, verdubbelt Apple het uitgekeerde bedrag. Dat zou het totaal op 2,5 miljoen dollar brengen. Reden genoeg om via Twitter een bericht aan Tim Cook, de CEO van Apple, te sturen en hem op te roepen dit bedrag alsnog aan een goed doel te doneren.

Het is onduidelijk waarom Beer het beloningsprogramma publiekelijk aan de schandpaal nagelt, maar zijn ludieke actie heeft wel voor veel publiciteit gezorgd. Van onze kant zijn we vooral benieuwd of Tim Cook gehoor gaat geven aan de oproep. Tot nu toe heeft Beer nog geen antwoord van Cook gehad.

Lucratiever om lekken te verkopen

Het beloningsprogramma dat Apple zo’n twee jaar geleden introduceerde, biedt een maximum van 200.000 dollar per ontdekt veiligheidslek. Helaas lijkt het programma te stranden omdat de beloningen relatief laag zijn. Het is voor hackers eenvoudig veel meer geld te verdienen door de lekken te verkopen aan overheden of bedrijven die gespecialiseerd zijn in het kraken van Apple-apparaten. Eerder dit jaar maakte de start-up Crowdfense bekend drie miljoen dollar over te hebben voor een zero-day exploit in iOS of Android. Een zero day is een lek dat nog door niemand anders is gevonden en daarom erg waardevol.

Reacties

4 reacties
  • Profielfoto
    McMeller

    Had hij niet gewoon even een Apple Pay Cash ‘tikkie’ kunnen sturen?

  • Profielfoto
    Absrnd

    Laten ze dan een organisatie kiezen die geen dikke directeur heeft, zoals Amnesty :/

  • Profielfoto
    SvS

    Absrnd op 13 augustus 2018 12:26
    Laten ze dan een organisatie kiezen die geen dikke directeur heeft, zoals Amnesty :/

    Je bedoelt de goede doelen waarbij niet teveel geld aan salarissen opgaat bij management/directie?

  • Profielfoto
    Hyrax

    SvS op 13 augustus 2018 13:53

    Absrnd op 13 augustus 2018 12:26
    Laten ze dan een organisatie kiezen die geen dikke directeur heeft, zoals Amnesty :/

    Je bedoelt de goede doelen waarbij niet teveel geld aan salarissen opgaat bij management/directie?

    Misschien moeten jullie dit eens kijken: https://www.ted.com/talks/dan_pallotta_the_way_we_think_about_charity_is_dead_wrong