Apple heeft tot nu toe bijna twintig miljoen dollar uitbetaald aan beveiligingsonderzoekers via zijn eigen bugbountyprogramma. Dat begon in 2019. Het bedrijf heeft ook het bestaande bugbountyplatform vernieuwd waarop ook meer informatie komt te staan over scopes.
Apple heeft zijn website voor externe bugbountyonderzoekers volledig vernieuwd, al staat op de openbare pagina relatief summiere informatie in vergelijking met veel andere firstpartybugbountyplatformen. Op de nieuwe site is ook de maximale beloning verhoogd. Die geldt voor de Lockdown-modus in iOS 16 en macOS 13. Lockdown is bedoeld voor gebruikers die zich zorgen maken over gerichte cyberaanvallen, zoals mensenrechtenactivisten, journalisten of politici. Onderzoekers die de beveiliging daarvan kunnen omzeilen, kunnen van Apple maximaal twee miljoen dollar aan beloning krijgen. Het maximale bedrag voor de mogelijkheid om code in te kernel uit te voeren zonder tussenkomst van de gebruiker ligt nog steeds op maximaal een miljoen dollar.
Apple schrijft in een bijbehorende blogpost dat het sinds het begin van het bugbountyprogramma al 'bijna twintig miljoen dollar' aan beloningen heeft uitgekeerd. De gemiddelde beloning ligt op 40.000 dollar. In twintig gevallen keerde Apple meer dan een ton uit voor een kwetsbaarheid. Apple maakte in 2019 zijn bugbountyprogramma openbaar beschikbaar. Daarmee was het een van de laatste grote techbedrijven die een beloningsprogramma begon.
De groei is volgens Apple 'een van de grootste in de geschiedenis van de industrie', maar dat is niet zonder slag of stoot gegaan. Apple kreeg in het verleden veel kritiek op het bugbountyprogramma. Meerdere keren zetten onderzoekers details online over gevonden kwetsbaarheden, omdat ze van Apple vaak niets terug hoorden. Ook beveiligingsonderzoekers waar Tweakers eerder mee sprak vertellen soortgelijke verhalen; beveiligingsonderzoekers krijgen bij Apple vaak slecht gehoor en weten niet wat er precies met hun meldingen wordt gedaan.
Apple erkent dat probleem niet direct in zijn blogpost, maar zegt inmiddels wel sneller te reageren op meldingen. "Op sommige momenten kregen we veel meer aanmeldingen dan we hadden verwacht, dus we hebben ons team vergroot en zorgen dat we een eerste review van iedere melding binnen twee weken kunnen doen, en de meeste binnen zes dagen", schrijft het bedrijf. Ook wordt het makkelijker voor hackers om meldingen door te geven. Dat kan via de website door in te loggen met een Apple ID. Onderzoekers komen dan op een pagina waar ze een statusupdate van hun melding zien en waar ze direct met Apple contact op kunnen nemen.
Vanaf eind november wordt het ook mogelijk voor onderzoekers om deel te nemen aan het Security Research Device Program. Dat zijn speciale iPhones voor beveiligingsonderzoekers. Die kunnen daarmee makkelijker onderzoek doen, maar het programma om die toestellen te krijgen was altijd erg beperkt.