Apple breidt Security bug-beloningsprogramma uit naar macOS en meer

Door: Night - 3 reacties
Apple Securtity Bug Beloningsprogramma

Al sinds 2016 heeft Apple een beloningsprogramma voor melders van bugs in iOS. Dit programma is nu – drie jaar later – ook uitgebreid naar de andere besturingssystemen van Apple, waaronder macOS. Ook bugs in iPadOS, tvOS en watchOS kunnen nu binnen dit programma gemeld worden.

Het technologiebedrijf kondigde zijn plannen voor de uitbreiding al enkele maanden geleden aan, tijdens de Black Hat cybersecurity conferentie. Afgelopen donderdag was het eindelijk zo ver. Op een nieuwe pagina op hun website heeft Apple de uitbreiding van het belonings-programma gepubliceerd. Op de pagina is ook meer informatie over het bijgewerkte programma te vinden.

Beloningsprogramma voor melden van bugs en kwetsbaarheden

Het Apple Security beloningsprogramma is in wezen een programma waarin Apple beveiligingsonderzoekers stimuleert om bugs te vinden in de verschillende besturingssystemen van Apple. Deze kon men dan aan het bedrijf te melden in ruil voor een aanzienlijke financiële beloning. Toen het beloningsprogramma in 2016 werd geïntroduceerd, konden alleen rapporten voor iOS-bugs worden ingediend.

Daarnaast kwamen alleen bepaalde onderzoekers, die waren uitgenodigd om aan het programma deel te nemen, in aanmerking voor een beloning. Vanaf deze week is het Security belonings-programma echter officieel uitgebreid. Niet alleen kunnen nu bugs van andere Apple besturingssystemen, zoals macOS, maar Apple laat nu ook de deelname van alle beveiligingsonderzoekers toe.

Apple iOS macOS lekken 2019
Apple kondigde de uitbreiding van het beloningsprogramma al enkele maanden geleden aan (klik/tap voor groter). Afbeelding via: Rich Mogull/Twitter

Het beloningsprogramma is nu voor iedereen toegankelijk

De nieuw gepubliceerde webpagina op de website van Apple biedt details over de nieuwe opzet van het Security belonings-programma. De pagina toont verder de subsidiabiliteitsrichtlijnen, premie-categorieënen met de bijbehorende maximale beloningen en instructies voor het indienen van een bug-rapport. Er is zelfs een aparte pagina met voorbeeld-uitbetalingen voor meldingen van verschillende soorten bugs.

Naast iOS-bugs accepteert het programma nu officieel niet alleen bug-rapportages voor macOS, maar ook voor iPadOS, tvOS en WatchOS. Er lijken geen MacOS-specifieke richtlijnen te zijn voor het indienen van bug-rapportages. Over het algemeen moeten onderzoekers echter wel drie hoofdrichtlijnen volgen om in aanmerking te komen voor een beloning:

  • Je moet de eerste zijn om de bug aan Apple Product Security te melden.
  • Er moet een rapport worden ingediend. Dat moet ‘duidelijk’ zijn en ‘een werkende exploit’ bevatten.
  • Je kunt de bug pas publiceren als ‘Apple een beveiligingsadvies voor de betreffende rapportage heeft uitgegeven’.

Flinke beloningen

Hoe belangrijk het is voor Apple, dat beveiligingsonderzoekers hun bevindeningen melden aan het bedrijf, blijkt wel uit de hoogte van de beloningen. Als de bug “aanzienlijke gevolgen voor gebruikers heeft” zal Apple daar rekening mee houden in de premiebetaling, zelfs als het niet “in de gepubliceerde premie-categorieën past”. De bedragen variëren in de voorbeelduitbetalingen van 25.000 tot de grootste uitbetaling van maar liefst 1 miljoen dollar.

Reacties

3 reacties