Update 20 December: Apple’s eerder aankondiging van afgelopen augustus is vanaf vandaag ingegaan. Dat betekent dat iedere beveiligingsonderzoeker nu bugs in kan sturen naar Apple’s Bug Bounty-programma. Je kan beveiligingsproblemen melden voor zowel iOS als iPadOS, macOS, tvOS en watchOS. De maximale beloning is 1 miljoen dollar en totaal kan het oplopen tot 1,5 miljoen dollar. Op Apple’s eigen pagina vind je meer informatie over het vernieuwde Apple Security Bounty.
Oorspronkelijk artikel
Bug bounty van 1 miljoen
Update 9 augustus 2019: Er staan nog meer veranderingen op stapel bij Apple’s securityteam: het bug bounty-programma staat voortaan open voor elke beveiligingsonderzoeker en er worden speciale iPhones beschikbaar gesteld om bugs op te sporen (zie verderop). Het maximale bedrag van 1 miljoen dollar is vijf keer zo hoog als voorheen. Hoe ernstiger het lek, hoe hoger de bonus. Het maximale bedrag van 1 miljoen wordt uitgekeerd als iemand de kernel van iOS kan kraken zonder tussenkomst van de gebruiker. Het bug bounty-programma werd aangekondigd tijdens de BlackHat-conferentie in Las Vegas.
Hieronder lees je ons eerdere artikel van 6 augustus.
Het security-team van Apple gaat het anders aanpakken. Het bedrijf zou plannen hebben om speciale iPhones weg te geven aan beveiligingsonderzoekers. Het gaat om pre-jailbroken toestellen die minder zijn afgeschermd. Ook zou Apple voor het eerst een vergoeding willen geven voor bugs die in macOS worden ontdekt.
De speciale iPhones moeten het gemakkelijker maken om kwetsbaarheden en andere beveiligingsproblemen te vinden. Dat zeggen bronnen die op de hoogte zijn van de plannen. Apple zou van plan zijn om het nieuwe bug bounty-programma aan te kondigen tijdens de Black Hat-beveiligingsconferentie in Las Vegas, die begin deze week van start is gegaan en nog tot donderdag duurt. Op donderdag staat er een presentatie van Ivan Krstić gepland, Apple’s hoofd security engineering. Hij gaat volgens het conferentieprogramma een kijkje achter de schermen geven bij iOS en macOS. Krstić was ook degene die in 2016 het bug bounty-programma voor het eerst aankondigde. Volgens Forbes is er een omslag gaande bij Apple’s Security-team.
Speciale pre-jailbroken iPhones
Het is niet zo, dat je je straks zomaar kunt aanmelden voor een gratis iPhone. De toestellen zijn bedoeld voor externe beveiligingsonderzoekers waar Apple al nauw mee samenwerkt. Je kunt alleen op uitnodiging lid worden van deze groep.
Het gaat om zogenaamde ‘dev devices’, waarbij onderdelen van het besturingssysteem gemakkelijker toegankelijk zijn, dan op een iPhone die je in de winkel koopt. Zo kun je bijvoorbeeld gemakkelijker het geheugen inspecteren op een bepaald moment, zodat je bepaalde kwetsbaarheden op het spoor kunt komen. Ook kunnen de ontwikkelaars zien wat er op het niveau van de code gebeurt tijdens een aanval. Het beoogde resultaat is dat Apple eerder bugs ontdekt en dat kwetsbaarheden sneller opgelost kunnen worden.
Toch is er op deze speciale iPhones nog niet alles mogelijk. Ze worden beschreven als lire-versies van de normale developertoestellen die Apple intern gebruikt voor eigen personeel. Zo is er voor externe ontwikkelaars waarschijnlijk geen mogelijkheid tot decryptie van de iPhone-firmware. Soms lekken die interne iPhone-prototypes uit en leveren ze veel geld op. Hackers gebruiken dergelijke toestellen meestal niet om Apple te helpen, maar om kwetsbaarheden te vinden waar ze in het grijze circuit veel geld voor kunnen vragen. Het gaat dan bijvoorbeeld om oplossingen die aan overheden en andere partijen worden verkocht, om in te breken op de iPhone van een verdachte of slachtoffer.
Eerder bleek uit onderzoek van Motherboard dat Apple’s bug bounty-programma van geen meter liep, omdat Apple te lage vergoedingen geeft. Hackers kunnen veel meer geld krijgen als ze gevonden kwetsbaarheden rapporteren aan commerciële hackers zoals Zerodium, die de kwetsbaarheden exploiteren.
Apple zou tijdens de Black Hat-conferentie ook van plan zijn om een bug bounty-programma voor macOS aan te kondigen. Voorheen was er alleen een beloning voor mensen die kwetsbaarheden in iOS ontdekten; nu komt daar ook macOS bij. Beveiligingsonderzoekers vragen daar al jaren om, maar Apple leek er weinig interesse in te hebben. Dat kwam nog eens extra aan het licht toen in februari de Duitse tiener Linus Henze een belangrijk lek in de macOS Sleutelhanger ontdekte, maar weigerde om de details bekend te maken, omdat Apple geen beloning wilde geven. Henze gaf uiteindelijk toch toe, omdat hij vond dat de kwetsbaarheid te ernstig was om geheim te houden.
Neemt Apple beveiliging wel serieus genoeg?
- 2019 - 20 december: Artikel bijgewerkt na aankondiging van Apple over de start van het vernieuwde Security Bounty-programma.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- 'Grootste iPad Air 2024 krijgt mini-LED display' (of toch niet?) (25-04)
- Zes verwachte functies voor de Apple Pencil 3 (24-04)
- iPhone SE 4 verwachtingen: dit zijn de verwachte functies en meer (22-04)
- Gerucht: 'iPhone 16 krijgt geen fysieke knoppen meer' (22-04)
- Gerucht: 'Nieuwe Mac mini pas in het najaar, slaat M3-chip over' (22-04)
Reacties: 6 reacties