Apple verhoogt maximale bugbountybeloning voor iOS naar miljoen dollar

Apple verhoogt het maximale bedrag in het bugbountyprogramma voor iOS naar een miljoen dollar. Het bedrijf keert dat bedrag uit aan onderzoekers die een serieuze bug in het mobiele besturingssysteem vinden.

De maximale bonus die Apple daarmee uitgeeft wordt daarmee vijf keer zo hoog als eerst. Voorheen bood het bedrijf maximaal 200.000 dollar aan beveiligingsonderzoekers, maar nu wordt dat een miljoen. Apple was één van de laatste grote techbedrijven die een dergelijk bugbountyprogramma aanbood. Via het programma kunnen beveiligingsexperts kwetsbaarheden in iOS melden aan het bedrijf en zo in aanmerking komen voor een beloning. Die beloningen lopen op naar mate het lek ernstiger is. Apples programma begon bij 25.000 dollar voor een sandbox escape, maar ging tot wel 200.000 voor wie een lek in de secure boot firmware vond.

Het nieuwe maximale bedrag van één miljoen wordt uitgekeerd voor wie de kernel van iOS kan kraken zonder tussenkomst van de gebruiker. Ook biedt Apple een half miljoen dollar voor wie een kwetsbaarheid via een netwerk kan uitvoeren zonder tussenkomst. Er zit een bonus van vijftig procent in het programma voor kwetsbaarheden die worden gevonden in software die nog niet officieel is uitgebracht. Eerder deze week bleek al dat Apple speciale iPhones aan beveiligingsonderzoekers gaat uitdelen voor dat doel. Dat bevestigt het bedrijf nu officieel aan Forbes. Het bugbountyprogramma werd aangekondigd tijdens de BlackHat-conferentie die deze week plaatsvindt in Las Vegas.

Apple reageert met de nieuwe prijzen vermoedelijk op de bewegingen in de markt voor zero days. Lekken voor iOS leveren bij commerciële bedrijven als Zerodium veel meer op. Ook nu biedt Apple minder geld dan dat bedrijf; Zerodium betaalt het dubbele voor serieuze kwetsbaarheden in iOS. Een ander bedrijf genaamd Crowdfense betaalt zelfs drie miljoen dollar. Twee jaar geleden bleek al dat het succes van het bugbountyprogramma laag was door de relatief lage beloningen.

Apple breidt het bugbountyprogramma ook uit naar macOS, en zelfs naar watchOS en het besturingssysteem voor de Apple tv. Het bedrijf zet het bugbountyprogramma daarnaast ook open voor iedere beveiligingsonderzoeker. Voorheen konden alleen onderzoekers die aangemeld waren bugs melden aan Apple om in aanmerking te komen voor een bonus. Dat was een ongebruikelijke aanpak. De meeste techbedrijven hebben hun bugbountyprogramma open staan voor iedereen. Vaak moet er dan wel aan bepaalde regels worden voldaan.

Door Tijs Hofmans

Nieuwscoördinator

08-08-2019 • 22:56

56

Reacties (56)

56
51
30
2
0
3
Wijzig sortering
En wat stopt iemand om de bugs meerdere keren te verkopen, dus eerst aan een commerciële partij om het vervolgens aan Apple te verkopen?
Aansprakelijkheid.

Zulke immense premies worden niet zomaar even uitgekeerd; hier komt uitvoerige toetsing en uiteraard 'n keiharde contractuele overeenkomst bij kijken. Wanneer je vervolgens dezelfde exploit verhandelt aan 'n andere partij, dan wordt dit vermoedelijk best gauw ontdekt. De specifieke werking van de exploit heeft meestal bepaalde identificerende kenmerken. En je kunt de premie niet incognito incasseren.

Bij contractbreuk van dergelijke soort word je juridisch tot 't uiterste geprocedeerd, door een legertje advocaten waar je waarschijnlijk amper iets tegen kunt beginnen. Daarnaast is ook je reputatie direct besmeurd en je carrière in deze markt zo goed als voorbij.
Aansprakelijkheid.

Zulke immense premies worden niet zomaar even uitgekeerd; hier komt uitvoerige toetsing en uiteraard 'n keiharde contractuele overeenkomst bij kijken. Wanneer je vervolgens dezelfde exploit verhandelt aan 'n andere partij, dan wordt dit vermoedelijk best gauw ontdekt. De specifieke werking van de exploit heeft meestal bepaalde identificerende kenmerken. En je kunt de premie niet incognito incasseren.
Dus als 2 (of meerdere) mensen die kwetsbaarheid vinden kan Apple ten onrechte claimen dat de methode vergelijkbare kenmerken heeft; en daarom niet uitbetalen maar wel met het harde werk van onderzoeker aan de haal gaan.

Buiten dat, wat is het probleem. Als ik vandaag mijn exploit aan NSA verkoop en een jaar later aan Apple dan dicht Apple dat lek toch.
Allereerst, deze bedrijven zijn niet gek natuurlijk en doen ook research en wisselen informeel zelfs informatie uit om fraude te bestrijden.

Als twee mensen die dezelfde vinding doen, dan is het first come, first serve. Het ene bedrijf zal een hacktool of een fix produceren en het ander bedrijf zal navraag doen wie het aangeleverd heeft.

Als de 2 mensen niet aan elkaar gelieerd zijn of elkaar zelfs maar gesproken hebben op het dark web, dan zal de een het geld mogen houden en de ander een contractuele “claw back” voor de kiezen krijgen vrees ik.

In sommige gevallen wordt er contractueel zelfs een omgekeerde bewijslast opgelegd. Bewijs maar dat jij de informatie niet aan derden verkocht hebt, anders nemen wij volledig of gedeeltelijk ons geld terug (claw back).

Maar ik neem aan dat je wel snapt wat het probleem is als je moedwillig de NSA oplicht door ze een exploit te verkopen en vervolgens een jaar later datzelfde ook aan Apple verkoopt. Dat zal niet prettig aflopen vrees ik.
Maar ik neem aan dat je wel snapt wat het probleem is als je moedwillig de NSA oplicht door ze een exploit te verkopen en vervolgens een jaar later datzelfde ook aan Apple verkoopt. Dat zal niet prettig aflopen vrees ik.
We hebben allemaal gezien wat er in de uraniumverrijkingscentrale in Iran is gebeurd. :P
.
vaak worden er bij deze soorten verkopen contracten getekend dat je dit niet aan de concurrent mag verkopen zodra je dat wel doet en ze hebben hier bewijs voor kan het zijn dat je het gekregen geld weer in mag leveren of een boete betalen die misschien hoger uit kan vallen dan je betaald hebt gekregen.
Ik vermoed een overeenkomst die dit voorkomt.
Voldoe je niet, geen geld krijgen maar afgeven.
Kan iemand uitleggen waarom andere bedrijven meer betalen voor zero day kwetsbaarheden? Het lijkt me vreemd dat andere bedrijven deze informatie in commerciële zin kunnen gebruiken, het lijkt me dat ze strafbaar bezig zijn om deze gegevens zelf te exploiteren of te verkopen voor exploitatie. Kortom: waar zit het verdienmodel?
Ik denk dat het verdienmodel mede in het volgende zit: Veel gebruikers kiezen voor Apple omdat ze het idee hebben dat Google alles afluistert. Bij Google (Android) is de gebruiker het product, dus mensen willen best wat bijleggen om vervolgens dat af te kopen.

Wat bleek nou vorige week? nieuws: 'Apple-medewerkers horen vertrouwelijke gesprekken via Siri'
Sinds dat moment is Apple bezig met via verschillende kanalen het vertrouwen van de consument terug te winnen. Wie wilt er nou afgeluisterd worden terwijl je in de slaapkamer bent, met in het achterhoofd dat je extra hebt betaald voor het "privacypremium".

De manieren waarop Apple het consumentenvertrouwen probeert terug te winnen rijzen de pan uit:
nieuws: Gerucht: Apple gaat speciale iPhones aan beveiligingsonderzoekers geven
nieuws: Apple verhoogt maximale bug bounty-beloning voor iOS naar miljoen dollar

Dat er geen opmerkende noot komt verbaast mij weinig, maar opmerkelijk is de timing van deze berichten van Apple zeker. Natuurlijk heb je deze week de BlackHat conferentie, dus Apple moest wel met een mooi verhaal komen om niet alles over het "Apple-medewerkers horen vertrouwelijke gesprekken via Siri" te laten gaan. :)

[Reactie gewijzigd door Frozen op 23 juli 2024 11:12]

Ja, Apple zal dit na vorige week even snel in elkaar gezet hebben. Dit is niet iets waar ze waarschijnlijk al maanden mee bezig waren.

Eind juni was al bekend dat Apple aanwezig zou zijn op de conferentie.
AuteurTijsZonderH Nieuwscoördinator @Frozen9 augustus 2019 01:16
Niet alles is een coverup he. Je doet hierboven wel heel veel aannames over hoe Apple dit gebruikt als een soort coverup of marketinginstrument. De discussie over het ver- en inkopen van zerodays bestaat al jaren, Apples rol in privacy ook.
De discussie over het handelen in zerodays bestaat inderdaad al een flinke tijd. Dat Apple "the good guy" wilt lijken als het op privacy aankomt is denk ik ook waar. Juist dat laatste zorgt ervoor dat Apple's zijn naam hoog probeert te houden op dat gebied: ze hebben dus wat te verliezen. Als de consument immers weet dat er weinig verschil tussen de datapolicy van Apple en (bijvoorbeeld) Google zou zitten, dan is er een reden weggevallen om voor Apple te kiezen. Daarbij lijkt het mij logisch dat Apple niet op dé hackersconferentie in het middelpunt wilt staan met negatief nieuws. Dat dit geval bij Siri speelde is namelijk voor een hacker en consument interessanter dan dat wanneer hetzelfde bij Google speelde, immers profileert Apple zich meer als "veilig" dan Google en betaal je een premium prijs bij Apple.

Dus of het een coverup is, durf ik niet te zeggen; maar dat ze iets te redden hebben is wel duidelijk. Dat er dan een week later twee nieuwsberichten komen waarin ze laten zien dat ze juist wel goed omgaan met data is dus op zijn minst opmerkelijk te noemen.
Niet alles is een coverup he. Je doet hierboven wel heel veel aannames over hoe Apple dit gebruikt als een soort coverup of marketinginstrument.
Jij lijkt precies hetzelfde te doen, maar dan ten voordele van Apple.
Als er dan aannames gedaan moeten worden is de aanname dat Apple het niet doet als coverup of marketinginstrument is de minst wereldvreemde insteek.
Geld, geld, geld, geld,.....
De aanname vanTijs is meer dat iets doen tijd kost. Dat is een stuk simpeler dan alle aannames van frozen, dus occhams razer zegt dat Tijs waarschijnlijk gelijk heeft.
Alsof dit zaken zijn die ze gisteren hebben bedacht.

Je hele betoog is een rand aan het adres van Apple en tweakers.
Ik zou zeggen, als je een kritische noot wilt... www.fvd.nl
Of dat onderbouwdis of niet. Het past wel bij je bericht.
Alsof dit zaken zijn die ze gisteren hebben bedacht
Waarom niet.
Dit programma bestaat al veel langer. Het enige verschil is dat het bedrag nu hoger is.
Voor die beslissing is echt geen lang traject nodig.
Het zou goed kunnen inderdaad. Maar er is natuurlijk wel wat meer veranderd. Niet enkel het besluit om meer te betalen. En zoals je zelf misschien ook wel weet, grotere organisaties zijn logger dan een eenmanszaakje. En dit is een kolos van een organisatie meen ik.

Minimaal 2 vergaderingen van kaderleden en toplui van security, legal, finance, executive team, marketing, externe aannemers enz.

Legal en finance hebben de algemene voorwaarden door moeten spitten en wijzigen, proofreadings, concepten, weer een aantal meetings om het voor te leggen en akkoord te krijgen van alle departementen.

Opnieuw meetings over lopende zaken voor vergoedingen en discussies onder welke regime van vergoedingen en voorwaarden die dan zouden moeten vallen.

Nu, dat wilt allemaal niet zeggen dat het niet kan in een maand tijd, ook al is het zomer en zijn er veel met vakantie, wat dit dus ook wel erg krap maakt. Het zou kunnen. Maar het is niet enkel een besluit en verhoging, dat klopt niet echt.
Ik denk dat het verdienmodel in het volgende zit: Veel gebruikers kiezen voor Apple omdat ze het idee hebben dat Google alles afluistert.
Nou sterker nog, dat doen ze ook. Het is al maanden bekend dat Google en Amazon medewerkers dit anoniem en steekproefsgewijs doen om dialecten etc te herkennen. Dat Apple dit ook doet lijkt mij niet heel bijzonder.

[Reactie gewijzigd door Donstil op 23 juli 2024 11:12]

Maar bij Apple was het niet anoniem en ook bij Google was het te herleiden.
Mja. Als je de WWDC een beetje hebt gevolgd, had je geweten dat Apple's focus voor het komende jaar vooral op privacy en vertrouwen zal liggen. Dus het enige dat misschien opmerkelijk is, is dat Apple ook daadwerkelijk doet wat het beloofd heeft. :)
AuteurTijsZonderH Nieuwscoördinator @Nas T8 augustus 2019 23:20
Dit soort bugs worden verkocht aan inlichtingendiensten die er tools van bouwen om iPhones mee af te luisteren. Voor zulke diensten is zo'n lek heel veel geld waard. Dat is niet strafbaar, er is geen wet die het verplicht een opgespoorde kwetsbaarheid te melden. Of het echter ethisch is, daar is al jaren heel veel discussie over.
Dat is niet strafbaar, er is geen wet die het verplicht een opgespoorde kwetsbaarheid te melden. Of het echter ethisch is, daar is al jaren heel veel discussie over.
Melden is niet verplicht, maar er misbruik van maken mag wel ? 8)7
AuteurTijsZonderH Nieuwscoördinator @harrytasker9 augustus 2019 00:07
Definieer misbruik. Is het misbruik als je het gebruikt om een telefoon van een verdachte af te luisteren? Dan zeg ik al snel nee. Maar als je er nou een advocaat mee afluistert, dan wordt het ineens anders. Het is een ontzettend grijs gebied.
Ja, het is misbruik. Een verdachte is nog altijd onschuldig. Daarnaast klopt het ook niet dat enkel de goede jongens hier gebruik van zouden maken. Elke bug kan ook door criminelen misbruikt worden en zou daarom zo snel mogelijk opgelost moeten worden.
Dat een verdachte onschuldig is tot het tegendeel is bewezen doet niets af aan het feit dat opsporing nodig is, en dat dit soort middelen prima ingezet kunnen worden, mits er een digitaal huiszoekingsbevel is van een bevoegde rechter.

Dat het eigenlijk beter zou zijn als de bug direct opgelost zou worden is tevens een heel andere discussie. De vraag was nu wat het commerciële verdienmodel is voor andere bedrijven en of dat eigenlijk wel mag.
Ja, het is misbruik. Een verdachte is nog altijd onschuldig.
Opsporing is noodzakelijk om een verdachte te kunnen veroordelen.
Politie doet aan waarheidsvinding.
Ja, maar moet daar dan wél de tools en mogelijkheden voor hebben.

Een verdachte hoeft niet mee te werken aan zijn of haar veroordeling. Maar als je weigert je telefoon te unlocken omdat er ándere kwalijke dingen op gebeurd kunnen zijn (bijv voor je werk of relatie) ben je extra verdacht.
Nee hoor het niet meewerken is geen grond voor verdenking. Behalve in situaties van het Murray arrest.

Bijvoorbeeld je wordt met een bloedend mes boven een lijk aangetroffen. Maar je wenst niks te verklaren. Dan is je schuld zo overtuigend dat je wel een andere verklaring moet geven. Doe je dat niet dan is het een meewegen de factor.
Ok, goed punt. Maar dan nog: in Nederland hebben we geen juryrechtspraak maar elders op de wereld, zeg Amerika, wel. En die jury laat dat wel meewegen.

Feit is dat je het bloedende mes juist uit het lijk getrokken hebt uit paniek; je komt net binnen en vindt een neergestoken lijk. Ben je onschuldig maar ja, toon dát maar eens aan..
Zoals hier boven al de terechte vraag
Wat geeft een partij zoals celebrite.

Die bugs gebruiken voor de reperatie en Copier soft/hardware van bijv. Teleplan/kpn de software gewoon in veel reperatie shops en XL winkels van kpn te vinden.

https://www.cellebrite.com/en/ufed-ultimate/

Ik noem dit misbruik maken en verzwijgen van bugS met alle (maatschappelijke) risico’s.
Om je eigen financiële belang te behartigen.

Dit heeft niets met goed bedoelde opsporing van misdaden te maken.

@LopendeVogel Weet er volgens mij meer van en werkt er mee

[Reactie gewijzigd door xbeam op 23 juli 2024 11:12]

Onder de DMCA is het wel verplicht om te melden, en strafbaar wanneer je dat niet doet. Als ik het allemaal goed begrepen heb, tenminste. Dat geldt natuurlijk niet voor inlichtingendiensten. En het is dan ook de achterliggende gedachte dat de inlichtingendiensten op deze manier iedereen voor kunnen blijven.
Ik vind bug.

Ik verkoop bug aan Israëlisch bedrijf voor 2Mil. Israëlisch bedrijf maakt software met daarin oa exploit voor mijn bug verwerk die het aan jouw regering verkoopt voor 20Mil. En aan andere regeringen etc.

En dan heb je ook partijen die de bugs zelf willen misbruiken etc en die kunnen best wat verdienen aan wat hacks dus ook best wat uitgeven aan wat 0days

[Reactie gewijzigd door TWeaKLeGeND op 23 juli 2024 11:12]

Gedaan met de jailbreak days! Enkel nog bug bountyhunters en bedrijven die surveillance software aanbieden doen nog wat met iOS kwetsbaarheden.
AuteurTijsZonderH Nieuwscoördinator @Verwijderd8 augustus 2019 23:29
Tsja, neem ze het eens kwalijk met zulke bedragen. Overigens heb ik een jailbreak al heel lang niet meer gemist met de huidige functies, jij wel?
Ik mis de mogelijkheid om de interface en iconen te tweaken. Deed je met Springtomize. Jailbreak al jaren niet meer dus kan zijn dat dat inmiddels niet meer mogelijk is.Daarnaast waren er ook nog allerlei mogelijkheden functies aan knoppen toe te wijzen.
Nog zeker wel mogelijk, ik heb nu een Jailbreak op iOS 12.2 met Chimera jailbreak ontwikkeld door Coolstar. iPad Pro en iPhone 7. Springtomize voor tweaken in het algemeen en snowboard voor thema's.
Icons maken niet zo veel uit op iOS.
Want die gebruik je eigenlijk niet.

iOS is altijd al gebouwd rond om Finder. (Pull down app launch net zo als in OSX)
Dat veel mensen swipen langs de icoontje komt door verkeert aangeleerd gedrag vanuit Android/Windows.

Je ziet nu dat Android pas de richting van Finder op beweegt en nee Finder is in de basis een de app launched geweest en geen zoek tool zoals het bij Android en Windows altijd is geweest.
Mwah is het niet al een tijdje zo dat die onderzoekers de bug melden en daarna voor oudere versies, meestal nadat die niet meer gesigned worden, een jailbreak uitbrengen? Mensen die hun blobs bewaren en dergelijken kunnen dan downgraden en jailbreaken; nieuwe gebruikers en "noobs" niet.
Nuttig dat dit nu opengezet wordt voor alle onderzoekers en dat ze vanaf nu ook alle platformen meenemen.
Zelfs iCloud nemen ze mee in het bounty program! Ongeautoriseerde toegang tot iCloud data van accounts op Apple Servers levert nu een maximum van een ton op.

Alle platformen in het bounty program:
iOS
tvOS
iPadOS
watchOS
macOS
iCloud

Meer info over payouts hier:
https://twitter.com/mikebdotorg/status/1159557138580004864
Zelfs iCloud nemen ze mee in het bounty program! Ongeautoriseerde toegang tot iCloud data van accounts op Apple
Die gradaties geven aan dat Apple weet dat bepaalde diensten systemen zwakker zijn dan andere.
Apple laat die situatie dus bewust voortbestaan.
Het is niet aan Apple om een prijskaartje aan gegevens te hangen.

Voorbeeld. In het verleden zijn diverse malen veel privéfoto's en filmpjes gestolen van bekendheden.
Ik denk niet dat de slachtoffers verschil zien in hoe de lek gebeurde.
Dat had niets met een bug te maken, maar met een te makkelijk wachtwoord...
@Nas T
Er zijn genoeg personen / organisaties / overheden die ontzettend veel geld overhebben voor een zero day, om deze te kunnen gaan misbruiken.

[Reactie gewijzigd door Luc45 op 23 juli 2024 11:12]

Toch ben ik benieuwd wat bedrijven zoals Cellebrite bieden als je een ernstige bug hebt gevonden
Er wordt toch duidelijk in het artikel een bedrag benoemd van 3 miljoen.
Volgens mij koopt cellebrite hun zero days van andere bedrijven.
1mil,, begint erop te lijken...
Dit trekt echtwel de aandacht van een serieus iemand. Of je IOS kunt kraken (de kernel) zonder tussenkomst van gebruiker. Talking about a challenge. :7
Ik denk dat George Hotz zich maar weer eens op iPhones moet gaan richten. :)
Zou een hacker (??) niet meer het pad volgen van;
- melden dat hij/zij een bug heeft gevonden
- duidelijk omschrijven wat het gevolg van deze bug kan zijn
- een eventuele oplossing aandragen
- EN dan vragen wat Apple hiervoor over heeft?
(En tussen neus en lippen melden dat er eventueel andere kopers zijn)

Ze gooien toch niet direct alle informatie op tafel...,,

Op dit item kan niet meer gereageerd worden.