Apple stelt zijn bugbeloningsprogramma open voor iedereen

Apple heeft zijn beloningsprogramma voor beveiligingsonderzoekers die bugs melden uitgebreid, waardoor nu iedereen zich kan aanmelden. Voorheen was er een uitnodiging voor nodig. Ook wordt het programma uitgebreid van alleen iOS naar andere besturingssystemen.

Op een webpagina heeft Apple uiteengezet waar een beveiligingsonderzoeker aan moet voldoen om in aanmerking te komen voor een betaling. Zo moet de onderzoeker de eerste zijn die een bug meldt en moet er een duidelijk rapport inclusief werkende exploit worden opgestuurd. Wie iets vindt, kan zijn of haar rapport mailen naar Apple. De maximale beloning, voor een exploit waarbij de kernelbeveiliging wordt omzeild zonder dat daar input van de gebruiker voor nodig is, bedraagt 1 miljoen dollar. Overigens krijgen onderzoekers 50 procent extra als de bug in een bètaversie is ontdekt.

Tegelijkertijd breidt Apple het bugmeldingsprogramma uit, waarbij niet alleen beveiligingsproblemen met iOS gemeld kunnen worden, maar ook andere software, zoals macOS, iCloud, tvOS, watchOS en iPadOS.

Voorheen konden alleen geselecteerde beveiligingsonderzoekers in aanmerking komen voor een beloning bij het melden van een bug. Het programma bestaat sinds 2016.

Door RoD

Forum Admin Mobile & FP PowerMod

Feedback • 21-12-2019 11:06
58 • submitter: Verwijderd

21-12-2019 • 11:06

58

Submitter: Verwijderd

Lees meer

Apple: lek in mailclient iOS vormt geen direct gevaar en update komt snel
Apple: lek in mailclient iOS vormt geen direct gevaar en update komt snel Nieuws van 24 april 2020
Apple zet HomePod over van iOS naar tvOS
Apple zet HomePod over van iOS naar tvOS Nieuws van 14 april 2020
Gerucht: Apple werkt aan satellieten voor dataverbindingen naar producten
Gerucht: Apple werkt aan satellieten voor dataverbindingen naar producten Nieuws van 20 december 2019
Apple maakt HomeKit ADK opensource
Apple maakt HomeKit ADK opensource Nieuws van 20 december 2019
Apple begint met aanbieden jaarabonnement op gamedienst Arcade
Apple begint met aanbieden jaarabonnement op gamedienst Arcade Nieuws van 16 december 2019
Meer producten en artikelen
Beveiliging en antivirus Apple

Reacties (58)

-Moderatie-faq
58
49
12
0
0
9
Wijzig sortering
dafo 23 december 2019 13:57
Ik denk vooral dat Apple hiermee de concurrentie van malafide 'security' bedrijven wil aangaan: die betaal nu waarschijnlijk ook enorme bedragen om bugs en exploits om te zetten in producten waarmee ze klanten (slechte overheden, foute bedrijven) kunnen bedienen. De kans dat iemand die nu een echt grote exploit vindt in iOS of MacOS naar Apple gaat wordt met deze beloning iets groter.
Donstil
21 december 2019 11:17
$1,5miljoen maximale beloning. Dat maakt het OnePlus nieuws van gisteren met $7000 wel erg schraal.

Edit: Zelfs met de mindere omzet van OnePlus of BBK (zie onder)

[Reactie gewijzigd door Donstil op 22 juli 2024 20:03]

Pukson @Donstil21 december 2019 11:25
Je moet bedenken dat Apple hun eigen besturingssysteem in beheer heeft. Mocht je een lek vinden in OnePlus is dat snel Android gerelateerd. Of zie ik het verkeerd
TheVivaldi @Pukson21 december 2019 12:12
Plus er staat "maximale beloning". Oké, het maximum is alsnog hoger dan dat van OnePlus, maar dat neemt niet weg dat het waarschijnlijk maar zelden zal voorkomen dat iemand een spectaculair bedrag van Apple zal krijgen.
Donstil
@TheVivaldi21 december 2019 13:57
Maar als die vlieger op gaat dan gaat dit twee kanten op natuurlijk. $7000,- is immers ook de "maximale beloning" bij OnePlus.
Donstil
@Pukson21 december 2019 11:43
Geen idee eigenlijk wat de beloningen voor Android Bugs zijn. Ongetwijfeld meer dan $7000,- dus je zou wel gek zijn als je een Android gerelateerde Bug dan bij OnePlus dropt inderdaad.
D0phoofd @Donstil21 december 2019 11:49
Wat Pukson probeert te zeggen is, is dat je vergelijking niet op gaat. OnePlus is een HW Fabrikant. Apple is de SW + HW fabrikant.
willyb @D0phoofd21 december 2019 20:22
Deze redenatie gaat toch stuk wat mij betreft: het is 1 toestel, het is 1 gebruiker zijn data.
OnePlus kan natuurlijk prima in overleg met de maker van Android kiezen om het bedrag te delen.

Die vergelijking is dus prima te maken.
NicoJuicy @Pukson21 december 2019 21:55
De OnePlus lekken de laatste tijd was oa. In hun website, waarbij veel gebruikersgegevens op straat belanden.
Luchtbakker @Donstil21 december 2019 11:46
$1,5miljoen maximale beloning. Dat maakt het OnePlus nieuws van gisteren met $7000 wel erg schraal.
Het is ook totaal niet realistisch wat je nu zegt. Kijk naar de omzetgegevens van Apple en Oneplus.

Oneplus: $1,4 miljard (2017)
Apple $ 265,6 miljard (2018)

Je kan gewoon niet verwachten dat bedrijven als Oneplus met miljoenen gaan strooien alsof het niks is. Dat geld hebben ze gewoon simpelweg niet. Daarnaast heeft Apple zowel software als hardware in eigen beheer, Oneplus enkel hardware en hun bootloader en website. Kritieke lekken zullen bij Oneplus minder snel voorkomen dan bij Apple gezien Oneplus geen eigen OS heeft. Daar moet je dan weer voor bij Google zijn die weer een stuk hogere beloningen geven. (al komt het niet eens in de buurt van de hoogte dat Apple geeft).

[Reactie gewijzigd door Luchtbakker op 22 juli 2024 20:03]

Donstil
@Luchtbakker21 december 2019 11:54
Ja je moet daarvoor het moeder bedrijf van OnePlus eigenlijk pakken. Halen geen Apple omzet maar maakt de verhouding wel anders.

Maar buiten dat is $7000,- alsnog wel erg karig.
SmokingCrop @Donstil21 december 2019 13:30
Het komt verrassend goed overeen als je die cijfers vergelijkt met de omzet.

1,4 * 190 = 266
7000 * 190 = 1,33 mil

Ze nemen dus ongeveer hetzelfde risico percentage als Apple, gewoon op een mindere omzet.

[Reactie gewijzigd door SmokingCrop op 22 juli 2024 20:03]

Donstil
@SmokingCrop21 december 2019 13:53
Het komt verrassend goed overeen als je die cijfers vergelijkt met de omzet.

1,4 * 190 = 266
7000 * 190 = 1,33 mil

Ze nemen dus ongeveer hetzelfde risico percentage als Apple, gewoon op een mindere omzet.
Wat bedoel je precies te zeggen met 266 miljoen en 1,3 miljoen dan?
En wat is 1,4 in deze berekening? Je som klopt maar verder is het mij onduidelijk.
SmokingCrop @Donstil21 december 2019 15:16
Dat de reward die Apple geeft erg dicht komt tegen de reward die Oneplus geeft als je de omzet in acht neemt.

Oneplus: $1,4 miljard (2017)
Apple $ 265,6 miljard (2018)

190x verschil in omzet, ongeveer 190x verschil in bounty reward.
(max 1 mil of 1,5 mil reward als het in de beta zit bij Apple)

Vandaar dat ik 7000$ niet vreemd vind, al is het weinig voor een persoon tov. de tijd die hij wellicht nodig heeft om dergelijke bugs te vinden.

[Reactie gewijzigd door SmokingCrop op 22 juli 2024 20:03]

BikkelZ @SmokingCrop21 december 2019 20:24
BKK heeft 20% van de markt , dat is het zelfde als Apple gemiddeld.

7000 al helemaal schraal als je je ook nog bedenkt dat het gros van de bugs in Android, Google Play Services of Qualcomm liggen.
SmokingCrop @Donstil22 december 2019 00:51
Apple geeft ook geen 1,3 miljard als bounty reward, maar max 1 miljoen, of 1,5 miljoen in de beta ;)

[Reactie gewijzigd door SmokingCrop op 22 juli 2024 20:03]

Verwijderd @Luchtbakker21 december 2019 12:36
Ik denk dat Apple de hoogte heeft aangepast aan wat Google onlangs bekend maakte: nieuws: Google verhoogt maximale bugbountybeloning naar 1,5 miljoen dollar
Toevallig exact hetzelfde bedrag.
SoloH @Verwijderd24 december 2019 09:39
Ja toevallig hetzelfde bedrag.... maar je draait het om. Google doet Apple na en niet andersom, zoals wel vaker...
https://techcrunch.com/20...e-hackers-macos-security/

[Reactie gewijzigd door SoloH op 22 juli 2024 20:03]

Anonymoussaurus @Donstil21 december 2019 11:30
Goh. Je vergelijkt nu een miljardenonderneming met een relatief klein bedrijf als OnePlus. En nee, BBK mag je daarin niet meerekenen.
Horatius @Anonymoussaurus21 december 2019 13:13
OnePlus is niet meer zo klein. 2 miljard omzet, dat is 1/3 van de omzet van AMD.
Als je bedenkt hoeveel mensen kosten per uur die deze bugs vinden, is 7000 erg karig.
Mensen die dit kunnen zou dit 1-3 weken loon zijn, dus dat is absoluut niet profitabel.
Verwijderd @Horatius21 december 2019 19:23
Mensen die dit kunnen zou dit 1-3 weken loon zijn, dus dat is absoluut niet profitabel.
Ik denk niet er veel mensen zijn die naar bugs zoeken die $24000 per maand verdienen. Ik denk dat er veel minder bugs in software zouden zitten als dat zo zou zijn, lol.
Horatius @Verwijderd22 december 2019 10:23
In silicon valley liggen lonen voor software engineers bizar hoog, ik heb vrij vaak gezien en gehoord dat senior software engineers daar 300-500k per jaar verdienen.

En bug bounty is zeer veel geluk ook, je moet maar hopen dat daar een fout bug zit.
K-aroq @Anonymoussaurus21 december 2019 14:22
Kromme vergelijking. Dan kan je ook wel zeggen dat medewerkers van OnePlus voor een veel lager salaris moeten gaan werken dan Apple medewerkers. Je kunt hoogstens zeggen dat het totale budget dat OnePlus ter beschikking kan stellen lager is dan wat Apple kan doen. Maar iedere individuele case zou vergelijkbaar moeten zijn met de vergoeding.
Anonymoussaurus @K-aroq21 december 2019 14:23
Tuurlijk krijgen OnePlus medewerkers minder betaald. Dat is toch logisch?
PPie @Anonymoussaurus21 december 2019 15:07
Waarom is dat logisch?
Anonymoussaurus @PPie21 december 2019 15:14
Apple is een groter bedrijf, maakt veel meer winst dan OnePlus. Omdat Apple een veel groter bedrijf is en een focusstrategie hebben op 'premium' willen ze zich ook onderscheiden door middel van hoogopgeleide werknemers, en die zijn ook duurder. OnePlus is Chinees (maar hebben ook werknemers in alle delen van de wereld). Daarom.
fapkonijntje @Anonymoussaurus21 december 2019 15:52
Klinkt leuk op papier. Maar Apple is ook een bedrijf dat tot in extremen gaat om kosten te besparen op hun producten, ketens en andere facetten van de organisatie. Dat zou ook op het personeel kunnen slaan. Of ze dus goed betalen is nog maar de vraag. Ik zou daar bij een Apple niet zo blind vanuit willen gaan als jij nu doet. Het komt vaker voor dat "premium" bedrijven (veel) minder betalen, omdat het ze doen alsof het een voorrecht is om er te werken en het goed zou zijn voor je CV... En er heel veel mensen zijn die dat ook zo zien. Tot op bepaalde hoogte, want hoe hoger iemand in een organisatie zit, hoe minder gevoelig ze worden voor dit soort geintjes.
Verwijderd @fapkonijntje21 december 2019 19:20
Klinkt leuk op papier. Maar Apple is ook een bedrijf dat tot in extremen gaat om kosten te besparen op hun producten, ketens en andere facetten van de organisatie.
Uhhhh? Apple staat in de business bekend als precies het tegendeel. Wel eens in de groot Apple kantoor geweest? Bij een Apple event geweest? Gezien hoe Apple zijn producten verpakt?

Ik daag je uit om voorbeelden te geven van die extreme zuinigheid.
HeelErgEdwin @Verwijderd23 december 2019 05:27
Productie in China
arjankoole
@HeelErgEdwin23 december 2019 15:45
Productie in China
Assemblage in China, niet productie. Die assemblage tot het eind product gebeurt met onderdelen uit de hele wereld. Letterlijk iedereen doet dat in (oa) China. 1 omdat het de kosten drukt, maar ook omdat China een dergelijke grote groep laagbetaalde arbeidskrachten heeft. Bij een hut als foxconn werken bijna een miljoen mensen (en niet alleen aan Apple, ook HP, Dell, Samsung, etc). Overigens gebeurt inmiddels ook een deel van die finale assemblage buiten China.

Dat is geen teken van 'extreme' zuinigheid, dat is hoe de markt zich beweegt. (als jouw voorbeeld zou kloppen, zou alleen Apple daar assemblage doen, niet iedere fabrikant van elektronische devices die we kennen zo'n beetje)
Donstil
@Anonymoussaurus21 december 2019 11:36
Buiten dat blijft $7000,- als maximale beloning wel erg karig. Ook voor een “relatief klein bedrijf” als OnePlus. Wat het natuurlijk niet echt is zoals je zelf al aanhaalt.

Maar goed hoe je het went of keert 200x is flink in ieder geval.

[Reactie gewijzigd door Donstil op 22 juli 2024 20:03]

Donstil
@Vlizzjeffrey21 december 2019 23:38
Nou een OnePlus toestel is sinds de OnePlus one harder gestegen dan Apple heeft gedaan in diezelfde periode. Ik ga er daarom vanuit dat er ook maximaal marge gemaakt wordt op een OnePlus7t Pro.
Andros 21 december 2019 11:32
Ach ja, personeel in dienst hiervoor kost een veelvoud. Nu werken de bug zoekers gratis en krijgen ze een fooi als ze iets vinden. Gebeurt veel tegenwoordig.
kodak
@Andros21 december 2019 13:42
Dat er veel bug zoekers zijn die, in totaal, vele uren steken in het zoeken naar bugs geef ik je gelijk in. Zolang ze niets vinden zijn dat gratis uren voor het bedrijf. Maar om te concluderen dat diegene die wel iets vinden een fooi krijgen betwijfel ik als je 1,5 miljoen dollar kan krijgen voor het vinden van een kernel bug in een beta versie. Daarbij is het geen vervanging van personeel maar doen de onderzoekers dit vrijwillig zonder dat er enige verplichting aan zit. Het zou wel interessant zijn als er eens onderzoek zou bestaan naar de tijd die bug zoekers kwijt zijn om een bug te vinden en wanneer het zich loont om het wel of niet te doen.
yollie1908 21 december 2019 11:42
Losgeld voor apple
Sneek @yollie190821 december 2019 17:06
Kleingeld hoop ik
Frubelaar 21 december 2019 15:08
Zoals in voorgaande PR-berichten is aangegeven door apple zijn er zeer strenge voorwaarden verbonden om je beta-tester beloning te ontvangen.
Bv of the bug moeilijk te achterhalen was, severity, hoe lang de bug al aanwezig was, etc.
bryanhonof 21 december 2019 22:53
Apple begint precies meer en meer te geven over hun eindgebruikers.
Goed :D
Single Core 22 december 2019 23:36
Maakt dit jailbreaken(in de toekomst) niet volledig "dood"? Aangezien de kernel hackers gigantisch veel geld kunnen krijgen door deze te rapporteren aan Apple zelf?
arjankoole
@Single Core23 december 2019 15:49
Maakt dit jailbreaken(in de toekomst) niet volledig "dood"? Aangezien de kernel hackers gigantisch veel geld kunnen krijgen door deze te rapporteren aan Apple zelf?
De principiële jailbreaker zal gewoon blijven bestaan. Die doet het omdat hij/zij vind dat het mogelijk moet zijn, ongeacht de consequenties. (het blijven bestaan van een gapend security gat)
SoloH @Single Core24 december 2019 09:44
Dat is natuurlijk de bedoeling.
5pë©ïàál_Tèkén @mutley6921 december 2019 13:18
Jep, want principes zijn absoluut zonder grenzen. Kom, laten we het anarchisten kookboek online zitten, dan kan iedereen chloorgas maken met huis-tuin-en-keukenmiddelen. Dan ook de blauwdrukken om met 3D printers wapens te maken. Want censuur, dat moeten we niet willen! 8)7
Het is niet voor niets een bugbeloningsprogramma, geen bugverspreidingsprogramma. Door mee te doen kun je een goede zak centen er aan over houden en Apple gebruikers wereldwijd helpen. Foute regimes kunnen moeilijker afluisteren, minder ransomware etc etc. Zit je afkeer zo diep en zijn je principes zo rigide dat dit allemaal niet opweegt tegen het argument ja maar censuur?
Natuurlijk kun je de bug loslaten 'in het wild'. Maar weet dan wel dat je vijanden maakt zonder dat je je ingedekt hebt. Als je anoniem een dergelijke bug bekendheid geeft en een aantal vervelende regimes gebruiken nét die bug om hun bevolking te 'beschermen', dan zou ik maar goed oppassen. Ik zou geen vijanden willen maken met dergelijke regimes. De bug publiceren via Apple maakt dat het wel errug verdacht als je een dag later 'opeens' onder een bus komt :+
Ik snap niet zo goed waarom Apple niet meteen de poorten open had gezet voor iedereen om een bug te melden. Door te eisen dat er een werkend voorbeeld bij zit maakt het filteren van de 'echtheid' redelijk makkelijk. Sure, er zullen heus we; apen zijn die voor een easy cashgrab gaan en een minder doordachte submit doen in de hoop dat ze een cent vangen. Met de omvang van Apple lijkt me dit geen heel groot probleem en zeker de moeite waard.
Donstil
@mutley6921 december 2019 11:57
De kans dat ik een bug zal vinden bij Apple is gelukkig nihil - ik blijf mijlenver weg van die produkten.
Ja dat zal de enige reden zijn :+
blorf @mutley6921 december 2019 13:21
Wat heb je allemaal nodig om een bug te kunnen vinden, en ook aantonen?
Dat lijkt mij een vrij relevante vraag. Is het mogelijk om een experimenteel iOS-systeem op te zetten om een target te simuleren, of kun je alleen je eigen telefoon daarvoor gebruiken? Of moet je een ontwikkelaars-overeenkomst aangaan die geld kost in ruil voor bepaalde privileges? Vooral punt 8 van hun voorwaarden voor deelname aan het bounty-programma maakt vrijwel alles onmogelijk: https://developer.apple.com/security-bounty/requirements. Ik vind dit meer op 'wij zijn veilig'-P&R lijken dan dat er serieus mogelijkheden zijn. Alles lijkt dichtgetimmerd tegen iemand die iets zoekt om te exploiteren, vergelijkbaar met hoe werkelijk kwaadwillenden over het algemeen te werk gaan. Bijv. een buffer-overflow veroorzaken zonder te weten over welke buffer je het hebt is niet realistisch. Dus reverse engineering/disassembling, telt niet? Een exploit uitwerken en toepasbaar maken mag ook niet. Je moet bij de 1e constatering van een onveiligheid dat direct melden...

[Reactie gewijzigd door blorf op 22 juli 2024 20:03]

z1rconium @blorf21 december 2019 14:38
Misschien moet je punt 8 nog eens goed lezen: je bent niet in overtreding van de verschillende licenties als je de boel weet te kraken en het rapporteert voor het bounty programma.
SoloH @blorf24 december 2019 09:51
Dan heb je punt 8 niet goed gelezen. Je mag alles ten behoeve van het bounty programma. Ze willen hiermee dus de hackers weren die slechte bedoelingen hadden.. al is dat moeilijk te bewijzen voor ze.
SoloH @mutley6924 december 2019 09:46
En toch zit je in een Apple thread... lekker hypocriet.
SgtElPotato @mutley6921 december 2019 12:01
Die clausule vind je overal en niet alleen bij Apple, niet meer dan logisch lijkt me? Of wou je bij bijvoorbeeld Google wel je beloning innen en vervolgens de bug gelijk online zitten? Ze komen het geld dan vrij snel weer bij je halen hoor.
small2 @codebeat22 december 2019 00:55
Een bedrijf als Apple maakt een risk/reward vergelijking. Zolang de kosten niet de bug (opbrengsten) dekken zullen ze deze niet patchen. Al helemaal als het een relatief kleine bug, met een grote kostenpost om deze te verhelpen. Het is scheef, maar zo werkt het in business

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq