Apple moedigt melden lekken iOS en macOS aan met miljoen dollar
Door: Raymon Mens - 2 reacties
Apple gaat onderzoek naar beveiligingslekken in iOS en macOS aanmoedigen. Het bedrijf uit Cupertino verhoogt de beloning die onderzoekers voor een gevonden lek krijgen (bug bounty) naar maximaal 1 miljoen dollar. Daarnaast stelt het volledig ontgrendelde iPhone- en iPad-exemplaren beschikbaar voor onderzoek. Geen jailbreak meer nodig.
Het bedrijf deed de aankondiging tijdens BlackHat 2019. Dat is een conferentie waar veel beveiligingsexperts bij elkaar komen. Apple had al een bug bounty-programma, maar het was erg beperkt.
Een miljoen dollar voor serieus lek in iOS
Onderzoekers krijgen een beloning voor beveiligingslekken die aan Apple worden gerapporteerd en niet openbaar gemaakt worden. De hoogte van de beloning loopt op wanneer het lek ernstiger is. Wanneer iemand uit de app-sandbox weet te breken, keert Apple 25.000 dollar uit. Het lockscherm omzeilen levert 100.000 dollar op. Het maximale bedrag van 1 miljoen wordt uitgekeerd aan wie de kernel van iOS kan kraken zonder actie van de gebruiker. Er is ook nog een bonus van 50 procent toegevoegd als een lek wordt gevonden in een bèta van iOS, macOS of een ander Apple-systeem.
Naast iOS, breidt Apple het bugbountyprogramma ook uit naar macOS, watchOS en tvOS. Bovendien kan iedere beveiligingsonderzoeker nu deelnemen. Voorheen werkte Apple alleen met een beperkt aantal onderzoekers. Daarmee was het bedrijf uit Cupertino een beetje vreemde eend in de bijt. De meeste technologiespelers accepteren inzendingen van alle onderzoekers.

Waardevol
Beveiligingslekken in Apple-apparaten zijn erg waardevol. Zeker als het een zogenaamde zero day, een lek dat nog niet openbaar is gemaakt, betreft. Onderzoekers kunnen dit soort lekken voor veel geld verkopen aan tussenpersonen. Die verkopen ze vaak weer door aan overheidsinstanties of opsporingsdiensten. Apple heeft natuurlijk liever dat lekken gemeld worden en betaalt daarom nu marktconforme beloningen. Als een onderzoeker echt wil cashen, biedt de vrije markt overigens nog altijd meer. Zerodium betaalt bijvoorbeeld het dubbele. Een ander bedrijf genaamd Crowdfense biedt zelfs 3 miljoen dollar voor serieuze zero day exploits in iOS.
Reacties