Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Apple stelt zijn bugbeloningsprogramma open voor iedereen

Apple heeft zijn beloningsprogramma voor beveiligingsonderzoekers die bugs melden uitgebreid, waardoor nu iedereen zich kan aanmelden. Voorheen was er een uitnodiging voor nodig. Ook wordt het programma uitgebreid van alleen iOS naar andere besturingssystemen.

Op een webpagina heeft Apple uiteengezet waar een beveiligingsonderzoeker aan moet voldoen om in aanmerking te komen voor een betaling. Zo moet de onderzoeker de eerste zijn die een bug meldt en moet er een duidelijk rapport inclusief werkende exploit worden opgestuurd. Wie iets vindt, kan zijn of haar rapport mailen naar Apple. De maximale beloning, voor een exploit waarbij de kernelbeveiliging wordt omzeild zonder dat daar input van de gebruiker voor nodig is, bedraagt 1 miljoen dollar. Overigens krijgen onderzoekers 50 procent extra als de bug in een bètaversie is ontdekt.

Tegelijkertijd breidt Apple het bugmeldingsprogramma uit, waarbij niet alleen beveiligingsproblemen met iOS gemeld kunnen worden, maar ook andere software, zoals macOS, iCloud, tvOS, watchOS en iPadOS.

Voorheen konden alleen geselecteerde beveiligingsonderzoekers in aanmerking komen voor een beloning bij het melden van een bug. Het programma bestaat sinds 2016.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Bauke Schievink

Admin Mobile / Nieuwsposter

21-12-2019 • 11:06

58 Linkedin

Submitter: Cyber Shadow

Reacties (58)

Wijzig sortering
Ik denk vooral dat Apple hiermee de concurrentie van malafide 'security' bedrijven wil aangaan: die betaal nu waarschijnlijk ook enorme bedragen om bugs en exploits om te zetten in producten waarmee ze klanten (slechte overheden, foute bedrijven) kunnen bedienen. De kans dat iemand die nu een echt grote exploit vindt in iOS of MacOS naar Apple gaat wordt met deze beloning iets groter.
$1,5miljoen maximale beloning. Dat maakt het OnePlus nieuws van gisteren met $7000 wel erg schraal.

Edit: Zelfs met de mindere omzet van OnePlus of BBK (zie onder)

[Reactie gewijzigd door Donstil op 21 december 2019 11:55]

Je moet bedenken dat Apple hun eigen besturingssysteem in beheer heeft. Mocht je een lek vinden in OnePlus is dat snel Android gerelateerd. Of zie ik het verkeerd
Plus er staat "maximale beloning". Oké, het maximum is alsnog hoger dan dat van OnePlus, maar dat neemt niet weg dat het waarschijnlijk maar zelden zal voorkomen dat iemand een spectaculair bedrag van Apple zal krijgen.
Maar als die vlieger op gaat dan gaat dit twee kanten op natuurlijk. $7000,- is immers ook de "maximale beloning" bij OnePlus.
Geen idee eigenlijk wat de beloningen voor Android Bugs zijn. Ongetwijfeld meer dan $7000,- dus je zou wel gek zijn als je een Android gerelateerde Bug dan bij OnePlus dropt inderdaad.
Wat Pukson probeert te zeggen is, is dat je vergelijking niet op gaat. OnePlus is een HW Fabrikant. Apple is de SW + HW fabrikant.
Deze redenatie gaat toch stuk wat mij betreft: het is 1 toestel, het is 1 gebruiker zijn data.
OnePlus kan natuurlijk prima in overleg met de maker van Android kiezen om het bedrag te delen.

Die vergelijking is dus prima te maken.
De OnePlus lekken de laatste tijd was oa. In hun website, waarbij veel gebruikersgegevens op straat belanden.
$1,5miljoen maximale beloning. Dat maakt het OnePlus nieuws van gisteren met $7000 wel erg schraal.
Het is ook totaal niet realistisch wat je nu zegt. Kijk naar de omzetgegevens van Apple en Oneplus.

Oneplus: $1,4 miljard (2017)
Apple $ 265,6 miljard (2018)

Je kan gewoon niet verwachten dat bedrijven als Oneplus met miljoenen gaan strooien alsof het niks is. Dat geld hebben ze gewoon simpelweg niet. Daarnaast heeft Apple zowel software als hardware in eigen beheer, Oneplus enkel hardware en hun bootloader en website. Kritieke lekken zullen bij Oneplus minder snel voorkomen dan bij Apple gezien Oneplus geen eigen OS heeft. Daar moet je dan weer voor bij Google zijn die weer een stuk hogere beloningen geven. (al komt het niet eens in de buurt van de hoogte dat Apple geeft).

[Reactie gewijzigd door Luchtbakker op 21 december 2019 12:20]

Ja je moet daarvoor het moeder bedrijf van OnePlus eigenlijk pakken. Halen geen Apple omzet maar maakt de verhouding wel anders.

Maar buiten dat is $7000,- alsnog wel erg karig.
Het komt verrassend goed overeen als je die cijfers vergelijkt met de omzet.

1,4 * 190 = 266
7000 * 190 = 1,33 mil

Ze nemen dus ongeveer hetzelfde risico percentage als Apple, gewoon op een mindere omzet.

[Reactie gewijzigd door SmokingCrop op 21 december 2019 13:32]

Het komt verrassend goed overeen als je die cijfers vergelijkt met de omzet.

1,4 * 190 = 266
7000 * 190 = 1,33 mil

Ze nemen dus ongeveer hetzelfde risico percentage als Apple, gewoon op een mindere omzet.
Wat bedoel je precies te zeggen met 266 miljoen en 1,3 miljoen dan?
En wat is 1,4 in deze berekening? Je som klopt maar verder is het mij onduidelijk.
Dat de reward die Apple geeft erg dicht komt tegen de reward die Oneplus geeft als je de omzet in acht neemt.

Oneplus: $1,4 miljard (2017)
Apple $ 265,6 miljard (2018)

190x verschil in omzet, ongeveer 190x verschil in bounty reward.
(max 1 mil of 1,5 mil reward als het in de beta zit bij Apple)

Vandaar dat ik 7000$ niet vreemd vind, al is het weinig voor een persoon tov. de tijd die hij wellicht nodig heeft om dergelijke bugs te vinden.

[Reactie gewijzigd door SmokingCrop op 21 december 2019 15:21]

BKK heeft 20% van de markt , dat is het zelfde als Apple gemiddeld.

7000 al helemaal schraal als je je ook nog bedenkt dat het gros van de bugs in Android, Google Play Services of Qualcomm liggen.
Apple geeft ook geen 1,3 miljard als bounty reward, maar max 1 miljoen, of 1,5 miljoen in de beta ;)

[Reactie gewijzigd door SmokingCrop op 22 december 2019 00:51]

Ik denk dat Apple de hoogte heeft aangepast aan wat Google onlangs bekend maakte: nieuws: Google verhoogt maximale bugbountybeloning naar 1,5 miljoen dollar
Toevallig exact hetzelfde bedrag.
Ja toevallig hetzelfde bedrag.... maar je draait het om. Google doet Apple na en niet andersom, zoals wel vaker...
https://techcrunch.com/20...e-hackers-macos-security/

[Reactie gewijzigd door SoloH op 24 december 2019 09:41]

Goh. Je vergelijkt nu een miljardenonderneming met een relatief klein bedrijf als OnePlus. En nee, BBK mag je daarin niet meerekenen.
OnePlus is niet meer zo klein. 2 miljard omzet, dat is 1/3 van de omzet van AMD.
Als je bedenkt hoeveel mensen kosten per uur die deze bugs vinden, is 7000 erg karig.
Mensen die dit kunnen zou dit 1-3 weken loon zijn, dus dat is absoluut niet profitabel.
Mensen die dit kunnen zou dit 1-3 weken loon zijn, dus dat is absoluut niet profitabel.
Ik denk niet er veel mensen zijn die naar bugs zoeken die $24000 per maand verdienen. Ik denk dat er veel minder bugs in software zouden zitten als dat zo zou zijn, lol.
In silicon valley liggen lonen voor software engineers bizar hoog, ik heb vrij vaak gezien en gehoord dat senior software engineers daar 300-500k per jaar verdienen.

En bug bounty is zeer veel geluk ook, je moet maar hopen dat daar een fout bug zit.
Kromme vergelijking. Dan kan je ook wel zeggen dat medewerkers van OnePlus voor een veel lager salaris moeten gaan werken dan Apple medewerkers. Je kunt hoogstens zeggen dat het totale budget dat OnePlus ter beschikking kan stellen lager is dan wat Apple kan doen. Maar iedere individuele case zou vergelijkbaar moeten zijn met de vergoeding.
Tuurlijk krijgen OnePlus medewerkers minder betaald. Dat is toch logisch?
Waarom is dat logisch?
Apple is een groter bedrijf, maakt veel meer winst dan OnePlus. Omdat Apple een veel groter bedrijf is en een focusstrategie hebben op 'premium' willen ze zich ook onderscheiden door middel van hoogopgeleide werknemers, en die zijn ook duurder. OnePlus is Chinees (maar hebben ook werknemers in alle delen van de wereld). Daarom.
Klinkt leuk op papier. Maar Apple is ook een bedrijf dat tot in extremen gaat om kosten te besparen op hun producten, ketens en andere facetten van de organisatie. Dat zou ook op het personeel kunnen slaan. Of ze dus goed betalen is nog maar de vraag. Ik zou daar bij een Apple niet zo blind vanuit willen gaan als jij nu doet. Het komt vaker voor dat "premium" bedrijven (veel) minder betalen, omdat het ze doen alsof het een voorrecht is om er te werken en het goed zou zijn voor je CV... En er heel veel mensen zijn die dat ook zo zien. Tot op bepaalde hoogte, want hoe hoger iemand in een organisatie zit, hoe minder gevoelig ze worden voor dit soort geintjes.
Klinkt leuk op papier. Maar Apple is ook een bedrijf dat tot in extremen gaat om kosten te besparen op hun producten, ketens en andere facetten van de organisatie.
Uhhhh? Apple staat in de business bekend als precies het tegendeel. Wel eens in de groot Apple kantoor geweest? Bij een Apple event geweest? Gezien hoe Apple zijn producten verpakt?

Ik daag je uit om voorbeelden te geven van die extreme zuinigheid.
Productie in China
Assemblage in China, niet productie. Die assemblage tot het eind product gebeurt met onderdelen uit de hele wereld. Letterlijk iedereen doet dat in (oa) China. 1 omdat het de kosten drukt, maar ook omdat China een dergelijke grote groep laagbetaalde arbeidskrachten heeft. Bij een hut als foxconn werken bijna een miljoen mensen (en niet alleen aan Apple, ook HP, Dell, Samsung, etc). Overigens gebeurt inmiddels ook een deel van die finale assemblage buiten China.

Dat is geen teken van 'extreme' zuinigheid, dat is hoe de markt zich beweegt. (als jouw voorbeeld zou kloppen, zou alleen Apple daar assemblage doen, niet iedere fabrikant van elektronische devices die we kennen zo'n beetje)
Buiten dat blijft $7000,- als maximale beloning wel erg karig. Ook voor een “relatief klein bedrijf” als OnePlus. Wat het natuurlijk niet echt is zoals je zelf al aanhaalt.

Maar goed hoe je het went of keert 200x is flink in ieder geval.

[Reactie gewijzigd door Donstil op 21 december 2019 11:41]

Nou een OnePlus toestel is sinds de OnePlus one harder gestegen dan Apple heeft gedaan in diezelfde periode. Ik ga er daarom vanuit dat er ook maximaal marge gemaakt wordt op een OnePlus7t Pro.
Ach ja, personeel in dienst hiervoor kost een veelvoud. Nu werken de bug zoekers gratis en krijgen ze een fooi als ze iets vinden. Gebeurt veel tegenwoordig.
Dat er veel bug zoekers zijn die, in totaal, vele uren steken in het zoeken naar bugs geef ik je gelijk in. Zolang ze niets vinden zijn dat gratis uren voor het bedrijf. Maar om te concluderen dat diegene die wel iets vinden een fooi krijgen betwijfel ik als je 1,5 miljoen dollar kan krijgen voor het vinden van een kernel bug in een beta versie. Daarbij is het geen vervanging van personeel maar doen de onderzoekers dit vrijwillig zonder dat er enige verplichting aan zit. Het zou wel interessant zijn als er eens onderzoek zou bestaan naar de tijd die bug zoekers kwijt zijn om een bug te vinden en wanneer het zich loont om het wel of niet te doen.
Zoals in voorgaande PR-berichten is aangegeven door apple zijn er zeer strenge voorwaarden verbonden om je beta-tester beloning te ontvangen.
Bv of the bug moeilijk te achterhalen was, severity, hoe lang de bug al aanwezig was, etc.
Apple begint precies meer en meer te geven over hun eindgebruikers.
Goed :D
Maakt dit jailbreaken(in de toekomst) niet volledig "dood"? Aangezien de kernel hackers gigantisch veel geld kunnen krijgen door deze te rapporteren aan Apple zelf?
Maakt dit jailbreaken(in de toekomst) niet volledig "dood"? Aangezien de kernel hackers gigantisch veel geld kunnen krijgen door deze te rapporteren aan Apple zelf?
De principiële jailbreaker zal gewoon blijven bestaan. Die doet het omdat hij/zij vind dat het mogelijk moet zijn, ongeacht de consequenties. (het blijven bestaan van een gapend security gat)
Dat is natuurlijk de bedoeling.
Jep, want principes zijn absoluut zonder grenzen. Kom, laten we het anarchisten kookboek online zitten, dan kan iedereen chloorgas maken met huis-tuin-en-keukenmiddelen. Dan ook de blauwdrukken om met 3D printers wapens te maken. Want censuur, dat moeten we niet willen! 8)7
Het is niet voor niets een bugbeloningsprogramma, geen bugverspreidingsprogramma. Door mee te doen kun je een goede zak centen er aan over houden en Apple gebruikers wereldwijd helpen. Foute regimes kunnen moeilijker afluisteren, minder ransomware etc etc. Zit je afkeer zo diep en zijn je principes zo rigide dat dit allemaal niet opweegt tegen het argument ja maar censuur?
Natuurlijk kun je de bug loslaten 'in het wild'. Maar weet dan wel dat je vijanden maakt zonder dat je je ingedekt hebt. Als je anoniem een dergelijke bug bekendheid geeft en een aantal vervelende regimes gebruiken nét die bug om hun bevolking te 'beschermen', dan zou ik maar goed oppassen. Ik zou geen vijanden willen maken met dergelijke regimes. De bug publiceren via Apple maakt dat het wel errug verdacht als je een dag later 'opeens' onder een bus komt :+
Ik snap niet zo goed waarom Apple niet meteen de poorten open had gezet voor iedereen om een bug te melden. Door te eisen dat er een werkend voorbeeld bij zit maakt het filteren van de 'echtheid' redelijk makkelijk. Sure, er zullen heus we; apen zijn die voor een easy cashgrab gaan en een minder doordachte submit doen in de hoop dat ze een cent vangen. Met de omvang van Apple lijkt me dit geen heel groot probleem en zeker de moeite waard.
De kans dat ik een bug zal vinden bij Apple is gelukkig nihil - ik blijf mijlenver weg van die produkten.
Ja dat zal de enige reden zijn :+
Wat heb je allemaal nodig om een bug te kunnen vinden, en ook aantonen?
Dat lijkt mij een vrij relevante vraag. Is het mogelijk om een experimenteel iOS-systeem op te zetten om een target te simuleren, of kun je alleen je eigen telefoon daarvoor gebruiken? Of moet je een ontwikkelaars-overeenkomst aangaan die geld kost in ruil voor bepaalde privileges? Vooral punt 8 van hun voorwaarden voor deelname aan het bounty-programma maakt vrijwel alles onmogelijk: https://developer.apple.com/security-bounty/requirements. Ik vind dit meer op 'wij zijn veilig'-P&R lijken dan dat er serieus mogelijkheden zijn. Alles lijkt dichtgetimmerd tegen iemand die iets zoekt om te exploiteren, vergelijkbaar met hoe werkelijk kwaadwillenden over het algemeen te werk gaan. Bijv. een buffer-overflow veroorzaken zonder te weten over welke buffer je het hebt is niet realistisch. Dus reverse engineering/disassembling, telt niet? Een exploit uitwerken en toepasbaar maken mag ook niet. Je moet bij de 1e constatering van een onveiligheid dat direct melden...

[Reactie gewijzigd door blorf op 21 december 2019 13:50]

Misschien moet je punt 8 nog eens goed lezen: je bent niet in overtreding van de verschillende licenties als je de boel weet te kraken en het rapporteert voor het bounty programma.
Dan heb je punt 8 niet goed gelezen. Je mag alles ten behoeve van het bounty programma. Ze willen hiermee dus de hackers weren die slechte bedoelingen hadden.. al is dat moeilijk te bewijzen voor ze.
En toch zit je in een Apple thread... lekker hypocriet.
Die clausule vind je overal en niet alleen bij Apple, niet meer dan logisch lijkt me? Of wou je bij bijvoorbeeld Google wel je beloning innen en vervolgens de bug gelijk online zitten? Ze komen het geld dan vrij snel weer bij je halen hoor.
Een bedrijf als Apple maakt een risk/reward vergelijking. Zolang de kosten niet de bug (opbrengsten) dekken zullen ze deze niet patchen. Al helemaal als het een relatief kleine bug, met een grote kostenpost om deze te verhelpen. Het is scheef, maar zo werkt het in business

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True