Apple verhoogt het maximale bedrag in het bugbountyprogramma voor iOS naar een miljoen dollar. Het bedrijf keert dat bedrag uit aan onderzoekers die een serieuze bug in het mobiele besturingssysteem vinden.
De maximale bonus die Apple daarmee uitgeeft wordt daarmee vijf keer zo hoog als eerst. Voorheen bood het bedrijf maximaal 200.000 dollar aan beveiligingsonderzoekers, maar nu wordt dat een miljoen. Apple was één van de laatste grote techbedrijven die een dergelijk bugbountyprogramma aanbood. Via het programma kunnen beveiligingsexperts kwetsbaarheden in iOS melden aan het bedrijf en zo in aanmerking komen voor een beloning. Die beloningen lopen op naar mate het lek ernstiger is. Apples programma begon bij 25.000 dollar voor een sandbox escape, maar ging tot wel 200.000 voor wie een lek in de secure boot firmware vond.
Het nieuwe maximale bedrag van één miljoen wordt uitgekeerd voor wie de kernel van iOS kan kraken zonder tussenkomst van de gebruiker. Ook biedt Apple een half miljoen dollar voor wie een kwetsbaarheid via een netwerk kan uitvoeren zonder tussenkomst. Er zit een bonus van vijftig procent in het programma voor kwetsbaarheden die worden gevonden in software die nog niet officieel is uitgebracht. Eerder deze week bleek al dat Apple speciale iPhones aan beveiligingsonderzoekers gaat uitdelen voor dat doel. Dat bevestigt het bedrijf nu officieel aan Forbes. Het bugbountyprogramma werd aangekondigd tijdens de BlackHat-conferentie die deze week plaatsvindt in Las Vegas.
Apple reageert met de nieuwe prijzen vermoedelijk op de bewegingen in de markt voor zero days. Lekken voor iOS leveren bij commerciële bedrijven als Zerodium veel meer op. Ook nu biedt Apple minder geld dan dat bedrijf; Zerodium betaalt het dubbele voor serieuze kwetsbaarheden in iOS. Een ander bedrijf genaamd Crowdfense betaalt zelfs drie miljoen dollar. Twee jaar geleden bleek al dat het succes van het bugbountyprogramma laag was door de relatief lage beloningen.
Apple breidt het bugbountyprogramma ook uit naar macOS, en zelfs naar watchOS en het besturingssysteem voor de Apple tv. Het bedrijf zet het bugbountyprogramma daarnaast ook open voor iedere beveiligingsonderzoeker. Voorheen konden alleen onderzoekers die aangemeld waren bugs melden aan Apple om in aanmerking te komen voor een bonus. Dat was een ongebruikelijke aanpak. De meeste techbedrijven hebben hun bugbountyprogramma open staan voor iedereen. Vaak moet er dan wel aan bepaalde regels worden voldaan.