Apple start beloningsprogramma voor melden bugs

Apple heeft zijn eigen bug bounty-programma opgezet. De fabrikant gaat betalen voor kwetsbaarheden die in zijn software gevonden worden. De hoogte van het bedrag is afhankelijk van de ernst van de kwetsbaarheid, met een maximum van 200.000 dollar.

Het beloningsprogramma, waar onder andere TechCrunch over schrijft, gaat in september van start en deelnemers zullen in eerste instantie alleen op uitnodiging mee kunnen doen. Wie een kritieke kwetsbaarheid vindt kan uitgenodigd worden voor het programma. Dat heeft Ivan Krstic, beveiligingstechnicus bij Apple, tijdens een sessie op Black Hat 2016 bekendgemaakt.

Apple hanteert verschillende categorieën voor gemelde kwetsbaarheden. Voor het aanbrengen van bugs in 'Secure boot firmware componenten' betaalt het bedrijf tot aan 200.000 dollar. Het onttrekken van gevoelige data aan de Secure Enclave Processor van Apple-apparaten, wordt met maximaal 100.000 dollar beloond. Het kunnen uitvoeren van willekeurige code met verhoogde kernelrechten en ongeoorloofde toegang tot iCloud-accounts, kan tot een uitgekeerd bedrag van 50.000 dollar leiden.

Bij de afweging welk bedrag de melder krijgt, speelt de duidelijkheid van de melding, de waarschijnlijkheid dat er gebruikersgegevens op het spel staan en de hoeveelheid actie die ondernomen moet worden om het lek te misbruiken, een rol. Apple belooft bedragen die worden gedoneerd aan een goed doel, in omvang te verdubbelen.

Apple is relatief laat met een speciaal beloningsprogramma voor het melden van kwetsbaarheden. Grote internet- en softwarebedrijven als Google en Facebook hebben dat al langer. Het van oudsher gesloten bedrijf lijkt opener geworden, getuige ook het toenemend aantal opensourceprojecten van Apple. Tegelijkertijd zijn de afgelopen jaren enkele beveiligingsincidenten met betrekking tot Apple-diensten geweest, zoals met Messages en Siri.

Apple Blak Hat 2016

Afbeelding afkomstig van Jay Freeman.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 05-08-2016 11:42
44 • submitter: ronaldmathies

05-08-2016 • 11:42

44

Submitter: ronaldmathies

Lees meer

Maak kennis met de white hats

24 jun 2017

Maak kennis met de white hats

Ethische hackers over bounties en disclosure

63
Apple geeft iPhones met minder restricties aan beveiligingsonderzoekers
Apple geeft iPhones met minder restricties aan beveiligingsonderzoekers Nieuws van 23 juli 2020
Apple betaalt 75.000 dollar voor lek waarmee iPhonecamera kon worden overgenomen
Apple betaalt 75.000 dollar voor lek waarmee iPhonecamera kon worden overgenomen Nieuws van 3 april 2020
'Broncode van iBoot-bootloader voor iOS 9 verschijnt op GitHub'
'Broncode van iBoot-bootloader voor iOS 9 verschijnt op GitHub' Nieuws van 8 februari 2018
Onderzoeker publiceert decryptiesleutel voor SEP-firmware van iPhone 5s
Onderzoeker publiceert decryptiesleutel voor SEP-firmware van iPhone 5s Nieuws van 18 augustus 2017
Lek gaf kwaadwillenden toegang tot verborgen e-mailadressen op Facebook
Lek gaf kwaadwillenden toegang tot verborgen e-mailadressen op Facebook Nieuws van 22 december 2016
Nintendo looft tot 20.000 dollar uit voor 3DS-kwetsbaarheden
Nintendo looft tot 20.000 dollar uit voor 3DS-kwetsbaarheden Nieuws van 6 december 2016
Hacker claimt jailbreak voor iOS 10 te hebben gemaakt
Hacker claimt jailbreak voor iOS 10 te hebben gemaakt Nieuws van 23 september 2016
Apple brengt iOS-update uit voor kwetsbaarheid Pangu-jailbreak
Apple brengt iOS-update uit voor kwetsbaarheid Pangu-jailbreak Nieuws van 5 augustus 2016
Apple fixt bug die aanvallers kwaadaardige code via tiff-bestand laat uitvoeren
Apple fixt bug die aanvallers kwaadaardige code via tiff-bestand laat uitvoeren Nieuws van 20 juli 2016
Apple zegt met opzet kernelcache in iOS 10 niet te hebben versleuteld
Apple zegt met opzet kernelcache in iOS 10 niet te hebben versleuteld Nieuws van 23 juni 2016
Messages-dienst voor OS X bevatte kwetsbaarheid die berichten prijsgaf
Messages-dienst voor OS X bevatte kwetsbaarheid die berichten prijsgaf Nieuws van 8 april 2016
Apple lost Siri-kwetsbaarheid op die toegang tot contacten en foto's gaf
Apple lost Siri-kwetsbaarheid op die toegang tot contacten en foto's gaf Nieuws van 6 april 2016
Meer producten en artikelen
Netwerk en systeembeheer Apple Bugs

Reacties (44)

-Moderatie-faq
44
41
33
6
0
6
Wijzig sortering

Sorteer op:

Weergave:
MenN 5 augustus 2016 11:51
Het is goed dat Apple hier nu mee komt. Maar ik vraag me af of dit soort programma's met een dergelijke maximum vergoeding nu echt effectief zijn.

Er is een groeiende markt waarop je kwetsbaarheden kunt verkopen en allerlei security bedrijfjes en overheden, die hun inlichtingendiensten van munitie willen voorzien, hebben daar veel geld voor over. Je moet dan dus kiezen voor een kleine vergoeding van Apple waar je vervolgens wel honderden miljoenen mensen van betere beveiliging voorziet. Of je verkoopt het aan een of andere schimmige partij die er vervolgens allerlei tooltjes van maakt voor de AIVD's van deze wereld, en al die miljoenen mensen juist kwetsbaarder maakt.

Als je geen ethische hacker bent is de keus snel gemaakt denk ik. Dan ga je lekker voor het grote geld.
Verwijderd @MenN5 augustus 2016 12:05
Als je niet etisch bent en voor het grote geld gaat, kan je het ook twee keer verkopen..., dwz oók aan Apple :).
dehardstyler @Verwijderd5 augustus 2016 15:18
Ik denk dat ze dat via een contract onmogelijk voor je maken. Anders zou iedereen het altijd dubbel verkopen toch?
Verwijderd @dehardstyler5 augustus 2016 15:20
Ik weet niet wie je met "ze" bedoelt, maar ik denk dat, als je illegaal/via duistere kanalen informatie verkoopt, er weinig contracten aan te pas komen.
dehardstyler @Verwijderd5 augustus 2016 15:23
NSA / AIVD en andere 3 / 4 letter instanties. Het is toch dom om een exploit aan te kopen van iemand en dan maar hopen dat hij het niet de zelfde dag nog via een bug bounty weer meld aan een fabrikant, waar hij dan ook weer geld voor ontvangt? 8)7
Verwijderd @dehardstyler5 augustus 2016 18:46
Als er geld mee te verdienen valt, zijn mensen inventief en "slim".
mutley69 @Verwijderd5 augustus 2016 18:16
Apple kennende zal dat wel met een annex-contractje zijn - non-disclosure tot de melder RIP is. Sorry dat ik 't zo cru zeg, maar een bedrijf met een stikte interne security-dienst werkt wellicht zo.
Verwijderd @mutley695 augustus 2016 18:45
Apple zal natuurlijk eisen dat je de kwetsbaarheid niet publiek maakt, toch zeker niet voor ze gefixed is, dat is gewoon common sense/goed beheer.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 22:08]

Iblies @MenN5 augustus 2016 12:14
Je maakten afweging.

Als bedrijf wil je natuurlijk niet de hoofdprijs gaan betalen. Het kan zelfs mogelijk corruptie in de hand werken waarbij interne medewerkers potentiële zwakheden naar buiten brengen.

En softwarematige zwakheden komen vroeg of laat altijd wel naar buiten. Maar al te vaak is het iets toevalligs waarna er gezocht wordt na een afwijking.

Hardware-matige zwakheden zullen door een relatief kleine groep te analyseren zijn en ik vermoed dat na het debacle met Apple een telefoon nimmer 100% beveiligd zal worden. En daarbij denk ik eerder aan het (relatief makkelijk) aflezen van een opslag-medium dan een echte fout.
Superstoned @Iblies10 augustus 2016 08:08
Inderdaad. Daarbij zijn er genoeg goede mensen die gewoon een fout vinden en tevreden zijn met een redelijke beloning. Er zijn toch ook zat mensen die een portemonnee terug brengen???
Verwijderd @MenN5 augustus 2016 12:23
Dat vind ik juist het sterke van Apple. Ze bieden prijzen die gelijkwaardig zijn aan de bedrijfjes die jij noemt. Veel onderzoekers zullen het dan liever aan Apple melden om de wereld veiliger te maken.
iAR @MenN8 augustus 2016 12:44
Je hebt maar één persoon nodig die het meldt zoals Apple het bedoelt. Daarmee zijn in 1 update alle onethische hackers uitgeschakeld. Mits er al schade is ontstaan natuurlijk.
Maar er zijn nog genoeg mensen in de wereld met goede bedoelingen.
GeoBeo 5 augustus 2016 11:53
Ligt het aan mij of zijn die bountys echt super laag?

50k voor het ontdekken van een lek voor volledige toegang van iCloud van alle gebruikers van Apple?!

Volgens mij krijg je daar op de darknets toch een stukje meer voor :P


En waarom zou iemand met skills een lek in iCloud proberen te vinden (met grote kans op tijdverspilling als je geen lek kunt vinden) voor 50k als hij met een simpele programmeeropdracht als freelancer in 4 maanden hetzelfde kan verdienen?
eL_Jay @GeoBeo5 augustus 2016 12:08
Volgens mij 10x zo hoog dan wat Google als maximale bounty uitkeert en 25x zo hoog dan wat de maximale Android bounty is.
https://www.google.com/about/appsecurity/reward-program/
https://www.google.com/about/appsecurity/android-rewards/
Verwijderd @GeoBeo5 augustus 2016 12:19
Dit zijn prima bounties volgens mij, bij andere bedrijven krijg je duidelijk minder.

Je krijgt daar op het Darknet echt niet meer voor. En de rewards voor een bootloader te kraken zijn ongeveer hetzelfde wat je bij een inlichtingendienst zou krijgen,vandaar de prijzen zoals ze zijn.

Dit soort bedragen zet echt zoden aan de dijk. Reken maar dat mensen gaan zoeken en als ze niets vinden kan je er zeker van zijn dat Apple producten veilig zijn. Vanwege de hoogte van het bedrag is er ook geen reden om naar iemand anders toe te stappen om meer te krijgen. Misschien dat alleen de NSA meer zou willen betalen, maar dat weet je nooit zeker. En als je het ze al verteld hebt dan kunnen ze je ook minder geven want je kan dan toch niet meer terug.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 22:08]

GeoBeo @Verwijderd5 augustus 2016 13:28
Je krijgt daar op het Darknet echt niet meer voor.
Ik bedoelde niet dat je het lek letterlijk verkoopt op de Darknet (dat kan vast ook wel), maar dat je alle bestanden van iedereen op iCloud kunt verkopen. Inclusief: nudes van celebrities (alleen die al zijn veel meer dan 50k waard voor roddelbladen), credit card numbers, passport scans, etc etc etc etc
Misschien dat alleen de NSA meer zou willen betalen,
Niet alleen de NSA hoor, alle bedrijven die exploits verkopen. Daar mag je gerust alle geheime diensten van alle landen als klant noemen + alle leveranciers aan die geheime diensten. Ik weet niet exact hoe die prijzen liggen, maar 50k is voor dat soort bedrijven gok ik echt kleingeld.
Verwijderd @GeoBeo5 augustus 2016 12:22
Niet iedereen heeft 'veel geld verdienen' als belangrijkste drijfveer om iets te doen. Voor velen is prestige, innerlijke drive om iets te leren/kunnen, vele malen belangrijker.
SED @Verwijderd5 augustus 2016 13:00
Hier zie je de verschillende bounty programmas:
https://bugcrowd.com/list-of-bug-bounty-programs
dakathefox @Verwijderd5 augustus 2016 12:37
Of de eeuwige roem. Het staat natuurlijk goed op je CV als je als net afgestudeerde IT-er aan de slag wil bij - laten we eens gek doen - Fox IT.
Maurits van Baerle @GeoBeo5 augustus 2016 11:58
Ik denk niet dat het Apple gaat om mensen gericht aan het werk te zetten om lekken te vinden. Het zal eerder zijn om mensen die toevallig iets hebben ontdekt de kans te geven het aan Apple te 'verkopen' in plaats van de verleiding te moeten weerstaan het op het dark web aan te bieden.

Stel, je bent niet heel sterk ethisch ontwikkeld en je vindt een lek. Je kunt het aan Apple melden dan en krijg je eeuwige roem middels een bedankje in een changelog. Of je kunt het verkopen op het dark web, het levert je nul roem op omdat je het anoniem moet doen maar je krijgt er misschien wel wat geld voor.

Door nu bedragen te bieden zal Apple ongetwijfeld meer meldingen krijgen.
dakathefox @GeoBeo5 augustus 2016 12:01
En waarom zou iemand met skills een lek in iCloud proberen te vinden (met grote kans op tijdverspilling als je geen lek kunt vinden) voor 50k als hij met een simpele programmeeropdracht als freelancer in 4 maanden hetzelfde kan verdienen?
Niet iedere freelancer zal 50k in 4 maanden verdienen natuurlijk. En bovendien hoef je ook niet 4 maanden te zoeken. Als ik kijk naar mezelf, dan heb ik vaak al wel ergens een voorgevoel bij. Dat kan gebaseerd zijn op kennis of gewoon stom toeval. Daarmee ga ik aan de slag en als mijn stelling klopt heb ik vaak nog maar een dag of twee nodig om de boel uit te werken, te documenteren en te versturen.

En dan is 50k voor 2 dagen werk wel netjes.
TheMak @GeoBeo5 augustus 2016 13:19
Als je als bedrijf iemand met skills naar je iCloud wil laten kijken, dan kan je hem beter inhuren, ipv een bug-bounty programma in te zetten. Een bug-bounty programma is ongecontroleerd. Iemand kan bijvoorbeeld vier fouten vinden, die kan dan overwegen om drie ervan aan Apple door te geven, en eentje zelf houden om zijn telefoon te routen.
TheAshcat @GeoBeo5 augustus 2016 13:57
op de darknets toch een stukje meer voor :P
Iets illegaals bedoel je? Natuurlijk keert iets illegaals doen meer uit ....
Verwijderd @GeoBeo5 augustus 2016 16:46
Misschien krijg je op een 'darknet' meer, maar dan ben je wel illegaal bezig met alle risicos van dien en je krijgt in zwart geld betaald.

Dan is de Apple aanbieding misschien nog niet zo verkeerd.
internetinfo 5 augustus 2016 11:51
Wel bijzonder dat juist de issues die belangrijk zijn om de privacy van gebruikers te waarborgen als laagst zijn geclassificeerd inzake het beloningsbedrag.
Het is wel duidelijk dat Apple hiermee vooral de jailbreaks wil ontmoedigen.
Verwijderd @internetinfo5 augustus 2016 13:34
Een secure boot bug is wel degelijk het meest ernstige lek omdat het de totale controle over het toestel kan geven.
Maurits van Baerle 5 augustus 2016 11:51
Interessant. Ik vraag me af waar die bedragen op gebaseerd zijn. Je kunt betogen dat een vulnerability in de Secure Enclave een groter risico met zich meedraagt omdat er meer op het spel staat dan secure boot. Anderzijds is er voor het misbruik van een lek in Secure Enclave waarschijnlijk fysieke toegang tot het apparaat nodig en kan het niet remote geexploit worden.

Het zou ook kunnen dat secure boot simpelweg populairder is omdat het ook gebruikt wordt door jailbreakers en dat de bedragen dus ingegeven zijn door de marktprijzen.
mashell @Maurits van Baerle5 augustus 2016 12:33
Het lijkt er in inderdaad op dat het beschermen van het business model van Apple (gebaseerd op het beheren welke software er op de verkochte devices draait) belangrijker is dan de privacy van hun klanten. En dat vind ik toch wel wat merkwaardig.
SidewalkSuper @mashell5 augustus 2016 14:47
Secure boot is privacytechnisch het allerbelangrijkste, dus ik snap je opmerking niet. :)
mashell @SidewalkSuper5 augustus 2016 15:04
Hoezo? Zoals Maurits al zegt heb voor die lagere lagen eigenlijk altijd fysieke toegang tot het te hacken device nodig. Maar eigenlijk alle privacy gevoelige data, foto's, contacten, agenda worden ook geupload naar iCloud. iCloud is zonder fysieke toegang tot het device van overal ter wereld te benaderen en dus eventueel ook te hacken. Daar lijkt me een groter risico te liggen voor de gebruiker dan bij een custom rom mogelijkheid die via een bug in secureboot ontstaat. Ik zou de hoogste geldsom voor de kwalijkste zaak verwachten. Dus bij iCloud en niet bij secure boot.
SidewalkSuper @mashell5 augustus 2016 15:12
Privacytechnisch is het apparaat veilig houden het belangrijkst. Daarop staat de meeste informatie. Wachtwoorden / cc's en dergelijke staan niet in iCloud. Er zal veel eerder een apparaat verloren / gestolen worden dan er ingebroken wordt via een kwetsbaarheid in iCloud. iCloud is te monitoren en wordt ook gemonitord.

iCloud is encrypted.
iCloud is weliswaar wereldwijd bereikbaar, maar erop is ook 2FA mogelijk.
Custom rom is niet het belangrijkste bij een secureboot probleem, malware is het grootste probleem dan.

[Reactie gewijzigd door SidewalkSuper op 22 juli 2024 22:08]

ZpAz
@SidewalkSuper6 augustus 2016 00:39
"Wachtwoorden / cc's en dergelijke staan niet in iCloud."

Jawel, deze staan in de KeyChain, welke ook in iCloud opgeslagen wordt. Anders moest ik mijn gegenereerde wachtwoorden op elk apparaat opnieuw intikken.
CyBeR @mashell6 augustus 2016 15:02
Nee, Secure Boot is het belangrijkste. Daar valt of staat de complete rest van de beveiliging mee namen. Als je SB weet te omzeilen kun je je aangepaste firmware draaien op 't apparaat waarmee al die andere dingen kinderspel worden.
Verwijderd @Maurits van Baerle5 augustus 2016 16:44
Bedragen zijn denk ik gebaseerd op wat een exploit doet op de zwarte markt, en dan zijn dit hele redelijke bedragen.
pierw 5 augustus 2016 11:50
Goed om te lezen dat Apple inziet dat het nuttig kan zijn om wat minder gesloten te worden. Vooral het belonen van het vinden van kwetsbaarheden kan het systeem nog sterker maken lijkt me.
Macshack @pierw5 augustus 2016 12:40
Het gaat hier niet om dat Apple dacht dat ze het niet nodig hadden. Maar anders dan Google betalen hun klanten voor alle testwerkzaamheden. De klanten van Google hebben geen/minder baad bij beveiliging. Dat hebben alleen de gebruikers. Maar die betalen nergens voor. Echter is er terechte druk en argwaan ontstaan over Apples' beveiliging door steeds complexere software, privacy gevoeligere diensten en groeiend marktaandeel.
anargeek 5 augustus 2016 12:15
Alleen op uitnodiging, maar als je een kritiek lek vind kan je uitgenodigd worden. Of ze fixen het kritieke lek en je wordt niet uitgenodigd. Hartelijk dank, het geld kan op de bankrekening blijven.
En weer een eigen platform, waarom geen samenwerking met bijv. OpenBugBounty, waar al talloze ethische hackers zitten die dit dagelijks doen.
DeMantis 5 augustus 2016 12:24
Goede zaak lijkt me.

Kunnen ze nu ook beginnen met het nalezen van hun eigen (tech) fora over niet-kritische bugs of dat heeft geen prioriteit? Vind het ongelooflijk dat sommige bugs door zo veel mensen worden gerapporteerd maar Apple er tergend traag iets aan doet, of gewoon helemaal niks.
g4wx3 5 augustus 2016 12:39
Ook kunnen ze nu traceren, wie er kennis heeft van hun systeem, eventueel aanwerven, of opvolgen bij misbruik
J_Gonggrijp 6 augustus 2016 12:52
Even een aantekening bij een fragment uit het nieuwsbericht:

Het van oudsher gesloten bedrijf lijkt opener geworden, getuige ook het toenemend aantal opensourceprojecten van Apple.

(Met een link naar het openbaar maken van Swift 2.)

Dat is geen trend. Apple hanteert al heel lang half open, half gesloten broncode. De onderlaag van Mac OS X en iOS, Darwin, is bijvoorbeeld al vanaf het begin open source, alsmede veel fundamentele technologieën die Apple zelf ontwikkelt of ondersteunt, zoals LLVM en Clang, WebKit, OpenCL en XQuartz. Swift past gewoon in dat rijtje (natuurlijk wachten ze even met openbaar maken totdat ze een niveau hebben bereikt waar ze echt trots op zijn). De toplaag van de besturingssystemen en de gebruikersapps daarentegen zijn allemaal gesloten, en dat zal waarschijnlijk voorlopig ook zo blijven. Niets nieuws aan de hand dus. Wel heel goed dat ze nu een bounty-programma hebben, natuurlijk.

Eigenlijk zou zo'n opmerking beter toepasbaar zijn op Microsoft. Dat bedrijf is de laatste tijd van alles openbaar aan het maken, terwijl ze dat vroeger nooit deden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq