Ivan Krstic

Apple verhoogt bug bounty-beloning naar 1 miljoen dollar

Ook beloning voor bugs in macOS, watchOS en tvOS

Apple verhoogt de maximale vergoeding voor het vinden van belangrijke iOS-bugs naar 1 miljoen dollar. Ook komt er een beloning voor mensen die bugs in macOS, tvOS en watchOS hebben ontdekt.

Bug bounty van 1 miljoen

Update 9 augustus 2019: Er staan nog meer veranderingen op stapel bij Apple’s securityteam: het bug bounty-programma staat voortaan open voor elke beveiligingsonderzoeker en er worden speciale iPhones beschikbaar gesteld om bugs op te sporen (zie verderop). Het maximale bedrag van 1 miljoen dollar is vijf keer zo hoog als voorheen. Hoe ernstiger het lek, hoe hoger de bonus. Het maximale bedrag van 1 miljoen wordt uitgekeerd als iemand de kernel van iOS kan kraken zonder tussenkomst van de gebruiker. Het bug bounty-programma werd aangekondigd tijdens de BlackHat-conferentie in Las Vegas.

Hieronder lees je ons eerdere artikel van 6 augustus.

Het security-team van Apple gaat het anders aanpakken. Het bedrijf zou plannen hebben om speciale iPhones weg te geven aan beveiligingsonderzoekers. Het gaat om pre-jailbroken toestellen die minder zijn afgeschermd. Ook zou Apple voor het eerst een vergoeding willen geven voor bugs die in macOS worden ontdekt.

De speciale iPhones moeten het gemakkelijker maken om kwetsbaarheden en andere beveiligingsproblemen te vinden. Dat zeggen bronnen die op de hoogte zijn van de plannen. Apple zou van plan zijn om het nieuwe bug bounty-programma aan te kondigen tijdens de Black Hat-beveiligingsconferentie in Las Vegas, die begin deze week van start is gegaan en nog tot donderdag duurt. Op donderdag staat er een presentatie van Ivan Krstić gepland, Apple’s hoofd security engineering. Hij gaat volgens het conferentieprogramma een kijkje achter de schermen geven bij iOS en macOS. Krstić was ook degene die in 2016 het bug bounty-programma voor het eerst aankondigde. Volgens Forbes is er een omslag gaande bij Apple’s Security-team.

Speciale pre-jailbroken iPhones

Het is niet zo, dat je je straks zomaar kunt aanmelden voor een gratis iPhone. De toestellen zijn bedoeld voor externe beveiligingsonderzoekers waar Apple al nauw mee samenwerkt. Je kunt alleen op uitnodiging lid worden van deze groep.

Het gaat om zogenaamde ‘dev devices’, waarbij onderdelen van het besturingssysteem gemakkelijker toegankelijk zijn, dan op een iPhone die je in de winkel koopt. Zo kun je bijvoorbeeld gemakkelijker het geheugen inspecteren op een bepaald moment, zodat je bepaalde kwetsbaarheden op het spoor kunt komen. Ook kunnen de ontwikkelaars zien wat er op het niveau van de code gebeurt tijdens een aanval. Het beoogde resultaat is dat Apple eerder bugs ontdekt en dat kwetsbaarheden sneller opgelost kunnen worden.

Apple bug bounty

Toch is er op deze speciale iPhones nog niet alles mogelijk. Ze worden beschreven als lire-versies van de normale developertoestellen die Apple intern gebruikt voor eigen personeel. Zo is er voor externe ontwikkelaars waarschijnlijk geen mogelijkheid tot decryptie van de iPhone-firmware. Soms lekken die interne iPhone-prototypes uit en leveren ze veel geld op. Hackers gebruiken dergelijke toestellen meestal niet om Apple te helpen, maar om kwetsbaarheden te vinden waar ze in het grijze circuit veel geld voor kunnen vragen. Het gaat dan bijvoorbeeld om oplossingen die aan overheden en andere partijen worden verkocht, om in te breken op de iPhone van een verdachte of slachtoffer.

Eerder bleek uit onderzoek van Motherboard dat Apple’s bug bounty-programma van geen meter liep, omdat Apple te lage vergoedingen geeft. Hackers kunnen veel meer geld krijgen als ze gevonden kwetsbaarheden rapporteren aan commerciële hackers zoals Zerodium, die de kwetsbaarheden exploiteren.

Apple zou tijdens de Black Hat-conferentie ook van plan zijn om een bug bounty-programma voor macOS aan te kondigen. Voorheen was er alleen een beloning voor mensen die kwetsbaarheden in iOS ontdekten; nu komt daar ook macOS bij. Beveiligingsonderzoekers vragen daar al jaren om, maar Apple leek er weinig interesse in te hebben. Dat kwam nog eens extra aan het licht toen in februari de Duitse tiener Linus Henze een belangrijk lek in de macOS Sleutelhanger ontdekte, maar weigerde om de details bekend te maken, omdat Apple geen beloning wilde geven. Henze gaf uiteindelijk toch toe, omdat hij vond dat de kwetsbaarheid te ernstig was om geheim te houden.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 9 augustus 2019, 7:33
Bron Bron Forbes
Categorie Geruchten
Onderwerpen beveiliging, bug, security

Reacties zijn gesloten voor dit artikel.