Overslaan en naar de inhoud gaan

Apple breidt bugbountyprogramma uit en verhoogt beloningen

Wie een gat vindt in de beveiliging van Apple-producten, kan daar meer geld mee verdienen. Apple verhoogt namelijk de premie voor het vinden en melden van kwetsbaarheden, de 'bug bounty'. Hoe groter het gevaar, hoe hoger de beloning, met een maximum van 1 miljoen dollar, omgerekend bijna 900.000 euro. Nu is de hoogste vergoeding 200.000 dollar, aldus Apple.

Wie een kwetsbaarheid vindt in een systeem dat nog niet op de markt is, kan 50 procent extra beloning krijgen bovenop de reguliere vergoeding. Het moet onderzoekers stimuleren om naar Apple te stappen en niet naar de zwarte markt, of te zwijgen. Apple doet dit vermoedelijk omdat zijn bugbountybeloningen al jaren veel lager zijn dan van commerciële bedrijven. Een serieus lek in iOS levert bij een bedrijf twee tot drie keer zoveel op als bij Apple. Daar komt nu dus verandering in.

Apple wil beveiligingsonderzoekers stimuleren lekken op te sporen door iPhones met root uit te delen. Op zo'n toestel kan de onderzoeker bijvoorbeeld de processor pauzeren om te kijken wat er gebeurt met de gegevens in het werkgeheugen. Het zogeheten iOS Security Research Device-programma begint volgend jaar en alleen geselecteerde onderzoekers krijgen zo'n speciale iPhone.

Meer besturingssystemen

Apple kwam drie jaar geleden met een beloning voor het vinden van gaten in het besturingssysteem iOS. Dat wordt nu uitgebreid naar macOS, iPadOS, tvOS, watchOS en iCloud, dus voor iPads, Macs, MacBooks, Apple TV en Apple Watch. 

Beloningsprogramma nu open

Een andere verandering is dat Apple zijn bugbountyprogramma openstelt voor alle beveiligingsonderzoekers. De afgelopen jaren moest een onderzoeker zich eerst aanmelden bij Apple voordat hij een lek kon melden. Een vreemde aanpak, schrijft onder meer Tweakers. Vrijwel alle techbedrijven met een bugbountyprogramma laten iedereen een melding maken, zonder account. 

Uit onderzoek twee jaar geleden bleek dat het bugbountyprogramma van Apple weinig meldingen opleverde en daarom niet succesvol was. Op securitycongres Black Hat zegt Apple's beveiligingstopman dat het programma tegenwoordig wel een succes is. In de afgelopen drie jaar zijn er meer dan vijftig 'kritieke' bugs gemeld.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in