Apple moedigt melden lekken iOS en macOS aan met miljoen dollar

Door: Raymon Mens - 2 reacties

Apple gaat onderzoek naar beveiligings­lekken in iOS en macOS aanmoedigen. Het bedrijf uit Cupertino verhoogt de beloning die onderzoekers voor een gevonden lek krijgen (bug bounty) naar maximaal 1 miljoen dollar. Daarnaast stelt het volledig ontgrendelde iPhone- en iPad-exemplaren beschikbaar voor onderzoek. Geen jailbreak meer nodig.

Het bedrijf deed de aankondiging tijdens BlackHat 2019. Dat is een conferentie waar veel beveiligings­experts bij elkaar komen. Apple had al een bug bounty-programma, maar het was erg beperkt.

Een miljoen dollar voor serieus lek in iOS

Onderzoekers krijgen een beloning voor beveiligings­lekken die aan Apple worden gerapporteerd en niet openbaar gemaakt worden. De hoogte van de beloning loopt op wanneer het lek ernstiger is. Wanneer iemand uit de app-sandbox weet te breken, keert Apple 25.000 dollar uit. Het lockscherm omzeilen levert 100.000 dollar op. Het maximale bedrag van 1 miljoen wordt uitgekeerd aan wie de kernel van iOS kan kraken zonder actie van de gebruiker. Er is ook nog een bonus van 50 procent toegevoegd als een lek wordt gevonden in een bèta van iOS, macOS of een ander Apple-systeem.

Naast iOS, breidt Apple het bugbountyprogramma ook uit naar macOS, watchOS en tvOS. Bovendien kan iedere beveiligings­onderzoeker nu deelnemen. Voorheen werkte Apple alleen met een beperkt aantal onderzoekers. Daarmee was het bedrijf uit Cupertino een beetje vreemde eend in de bijt. De meeste technologiespelers accepteren inzendingen van alle onderzoekers.

Apple iOS macOS lekken 2019
Klik/tap voor groter. Afbeelding via: Rich Mogull/Twitter

Waardevol

Beveiligings­lekken in Apple-apparaten zijn erg waardevol. Zeker als het een zogenaamde zero day, een lek dat nog niet openbaar is gemaakt, betreft. Onderzoekers kunnen dit soort lekken voor veel geld verkopen aan tussenpersonen. Die verkopen ze vaak weer door aan overheidsinstanties of opsporingsdiensten. Apple heeft natuurlijk liever dat lekken gemeld worden en betaalt daarom nu marktconforme beloningen. Als een onderzoeker echt wil cashen, biedt de vrije markt overigens nog altijd meer. Zerodium betaalt bijvoorbeeld het dubbele. Een ander bedrijf genaamd Crowdfense biedt zelfs 3 miljoen dollar voor serieuze zero day exploits in iOS.

Reacties

2 reacties
  • Profielfoto
    pruus

    Puf, nu pas…..

  • Profielfoto
    xaddict

    Moeten bedrijven als Zerodium dan eigenlijk wel toegestaan zijn? Je bestaat om andermans bedrijf kapot te maken? Of ga je me vertellen dat Zerodium legale dingen doet met deze informatie?