Apple breidt bugbountyprogramma uit en verhoogt beloningen

Wie een kwetsbaarheid vindt in een systeem dat nog niet op de markt is, kan 50 procent extra beloning krijgen bovenop de reguliere vergoeding. Het moet onderzoekers stimuleren om naar Apple te stappen en niet naar de zwarte markt, of te zwijgen. Apple doet dit vermoedelijk omdat zijn bugbountybeloningen al jaren veel lager zijn dan van commerciële bedrijven. Een serieus lek in iOS levert bij een bedrijf twee tot drie keer zoveel op als bij Apple. Daar komt nu dus verandering in.

Apple wil beveiligingsonderzoekers stimuleren lekken op te sporen door iPhones met root uit te delen. Op zo'n toestel kan de onderzoeker bijvoorbeeld de processor pauzeren om te kijken wat er gebeurt met de gegevens in het werkgeheugen. Het zogeheten iOS Security Research Device-programma begint volgend jaar en alleen geselecteerde onderzoekers krijgen zo'n speciale iPhone.

Meer besturingssystemen

Apple kwam drie jaar geleden met een beloning voor het vinden van gaten in het besturingssysteem iOS. Dat wordt nu uitgebreid naar macOS, iPadOS, tvOS, watchOS en iCloud, dus voor iPads, Macs, MacBooks, Apple TV en Apple Watch. 

Beloningsprogramma nu open

Een andere verandering is dat Apple zijn bugbountyprogramma openstelt voor alle beveiligingsonderzoekers. De afgelopen jaren moest een onderzoeker zich eerst aanmelden bij Apple voordat hij een lek kon melden. Een vreemde aanpak, schrijft onder meer Tweakers. Vrijwel alle techbedrijven met een bugbountyprogramma laten iedereen een melding maken, zonder account. 

Uit onderzoek twee jaar geleden bleek dat het bugbountyprogramma van Apple weinig meldingen opleverde en daarom niet succesvol was. Op securitycongres Black Hat zegt Apple's beveiligingstopman dat het programma tegenwoordig wel een succes is. In de afgelopen drie jaar zijn er meer dan vijftig 'kritieke' bugs gemeld.