Apple keerde 20 miljoen aan bugbounty's uit sinds 2019 en vernieuwt platform

Apple heeft tot nu toe bijna twintig miljoen dollar uitbetaald aan beveiligingsonderzoekers via zijn eigen bugbountyprogramma. Dat begon in 2019. Het bedrijf heeft ook het bestaande bugbountyplatform vernieuwd waarop ook meer informatie komt te staan over scopes.

Apple heeft zijn website voor externe bugbountyonderzoekers volledig vernieuwd, al staat op de openbare pagina relatief summiere informatie in vergelijking met veel andere firstpartybugbountyplatformen. Op de nieuwe site is ook de maximale beloning verhoogd. Die geldt voor de Lockdown-modus in iOS 16 en macOS 13. Lockdown is bedoeld voor gebruikers die zich zorgen maken over gerichte cyberaanvallen, zoals mensenrechtenactivisten, journalisten of politici. Onderzoekers die de beveiliging daarvan kunnen omzeilen, kunnen van Apple maximaal twee miljoen dollar aan beloning krijgen. Het maximale bedrag voor de mogelijkheid om code in te kernel uit te voeren zonder tussenkomst van de gebruiker ligt nog steeds op maximaal een miljoen dollar.

Apple schrijft in een bijbehorende blogpost dat het sinds het begin van het bugbountyprogramma al 'bijna twintig miljoen dollar' aan beloningen heeft uitgekeerd. De gemiddelde beloning ligt op 40.000 dollar. In twintig gevallen keerde Apple meer dan een ton uit voor een kwetsbaarheid. Apple maakte in 2019 zijn bugbountyprogramma openbaar beschikbaar. Daarmee was het een van de laatste grote techbedrijven die een beloningsprogramma begon.

De groei is volgens Apple 'een van de grootste in de geschiedenis van de industrie', maar dat is niet zonder slag of stoot gegaan. Apple kreeg in het verleden veel kritiek op het bugbountyprogramma. Meerdere keren zetten onderzoekers details online over gevonden kwetsbaarheden, omdat ze van Apple vaak niets terug hoorden. Ook beveiligingsonderzoekers waar Tweakers eerder mee sprak vertellen soortgelijke verhalen; beveiligingsonderzoekers krijgen bij Apple vaak slecht gehoor en weten niet wat er precies met hun meldingen wordt gedaan.

Apple erkent dat probleem niet direct in zijn blogpost, maar zegt inmiddels wel sneller te reageren op meldingen. "Op sommige momenten kregen we veel meer aanmeldingen dan we hadden verwacht, dus we hebben ons team vergroot en zorgen dat we een eerste review van iedere melding binnen twee weken kunnen doen, en de meeste binnen zes dagen", schrijft het bedrijf. Ook wordt het makkelijker voor hackers om meldingen door te geven. Dat kan via de website door in te loggen met een Apple ID. Onderzoekers komen dan op een pagina waar ze een statusupdate van hun melding zien en waar ze direct met Apple contact op kunnen nemen.

Vanaf eind november wordt het ook mogelijk voor onderzoekers om deel te nemen aan het Security Research Device Program. Dat zijn speciale iPhones voor beveiligingsonderzoekers. Die kunnen daarmee makkelijker onderzoek doen, maar het programma om die toestellen te krijgen was altijd erg beperkt.

Door Tijs Hofmans

Nieuwscoördinator

29-10-2022 • 10:14

27

Reacties (27)

Sorteer op:

Weergave:

Dit klinkt als een goede stap. Apple is in het verleden niet altijd heel duidelijk geweest naar onderzoekers die een melding deden en ook niet over hun eigen werk om het OS te beveiligen. De blogs geven een interessant inkijkje in wat ze zoal doen.
Het klinkt vooral als een stuk PR en wellicht wat goodwill vanuit de echte security engineers bij Apple. Het feit blijft dat Apple als organisatie alles m.b.t. security erg tegen werkt, niets wilt delen, en elke keer als een erg slechte verliezer, kinderachtig blijft doen met serieuze problemen. Je kunt dit misschien wel vergelijken met het "right to repair". Het kan misschien wel, maar wel even door wat hoepels en volgens de kleine letters zoals Apple dat zint. Met als resultaat dat het voor de gros van de mensen wel okay lijkt, maar als je er echt in betrokken bent, het vies tegenvalt.
Case in point; jij hebt de mening dat het een klinkt als een goede stap na 1 PR blog.
Natuurlijk zit er een PR zijde aan dit verhaal, maar je doet het verhaal tekort als je het afdoet als 1 PR blog. Er zijn concrete verbeteringen aangekondigd in onder andere de snelheid van respons en de communicatie van onderzoekers met Apple. Voordat je al met een oordeel klaar staat zou ik zeggen, geef Apple eerst de kans om te bewijzen dat ze deze verbeteringen ook echt weten te realiseren. Pas als het onvoldoende blijkt is kritiek terecht.
Ik vind dat we een partij die al jaren bewezen slecht gedraagt niet na letterlijk één eigen nieuwsbericht op onze schouders moeten dragen.

@Zackito er staat een bron van Tweakers zelf. Verder ben ik hier als reaguurder met een mening en niet als onafhankelijk journalist met bronnen die betaald krijgt om wat diepgang in een Tweakers nieuwsbericht toe te voegen. Dus, dan moet je zelf een mening vormen en/of onderzoek doen. Er is genoeg te vinden. Of je neemt mijn reactie met een korrel zout.
Op de schouders nemen pleit ik ook weer niet voor. Uiteindelijk komt het er denk ik op neer dat we moeten zien hoe serieus ze dit aanpakken en of de verbeteringen echt worden gerealiseerd. Als dat zo is, dan lijkt het me tenminste een stap in de goede richting.
In krap aan drie jaar tijd (slechts) 20 miljoen klinkt mij niet als heel veel. Gemiddeld 40K per beloning betekend zo’n 500 gevallen. Verdeeld over alle platformen. Wat m.i. niet eens zo heel veel klinkt. Of kunnen we hieruit concluderen dat de software van appel “gewoon zo goed/veilig is”?

*correctie (5000) maar 500, bedankt @mrfeet voor de toch wel zo simpele rekensom O-)

[Reactie gewijzigd door GerritGekke op 26 juli 2024 15:25]

500 gevallen… geen 5000
In drie jaar 500 meldingen is toch 1 serieus probleem per twee kalender dagen. Dat vind ik toch behoorlijk veel.

Niks mis mee hoor, maar geeft wel aan dat dit programma dus terecht bestaat.
Ook beveiligingsonderzoekers waar Tweakers eerder mee sprak vertellen soortgelijke verhalen; beveiligingsonderzoekers krijgen bij Apple vaak slecht gehoor en weten niet wat er precies met hun meldingen wordt gedaan.
Ik vraag me dan af of die 20 miljoen eigenlijk niet heel veel hoger ziy moeten zijn.
Downplayen van bugs. Geen feedback aan beveiligingsonderzoekers staat praktisch gelijk aan een bug negeren of zelf 'gratis' oplossen. Gratis want een onderzoeker die 10k gestort krijgt heeft wel feedback/bewijs dat Apple de bug heeft opgepakt.
Klinkt als een goede zaak, jammer dat ik geen tijd heb om mijzelf te verdiepen in beveiligingsonderzoek.
1 miljoen voor een kernel exploit klinkt wel aantrekkelijk. haha
Ja voor de normale mensen is dat een hoop.
Maar kijken we naar de winst(dus niet omzet) over 2019/20/21(22 zit er niet eens bij). Dan praten we over 200 miljard. Dan is 20 miljoen natuurlijk erg laag.
Ja voor de normale mensen is dat een hoop.
Maar kijken we naar de winst(dus niet omzet) over 2019/20/21(22 zit er niet eens bij). Dan praten we over 200 miljard. Dan is 20 miljoen natuurlijk erg laag.
Dat is totaal niet relevant, het is juist goed van Apple dat ze dit systeem hebben opgezet.
Waarbij ze andere onderzoekers links laten liggen?
Ik snap echt niet wat je hiermee bedoelt. Of ik begrijp niet wat een bug bounty is of jij hebt een verkeerd beeld van hoe het werkt. Wie wordt er genegeerd of opzij geschoven en waarom is dat de schuld van Apple?
Ik neem aan als jij een bug/security bug vind en dit meldt aan appel dat je dan een beloning krijgt.

Maar als je geen reactie krijgt van Apple verwacht ik niet dat ze een belonging hebben gehad.


Meerdere keren zetten onderzoekers details online over gevonden kwetsbaarheden, omdat ze van Apple vaak niets terug hoorden. Ook beveiligingsonderzoekers vertellen soortgelijke verhalen; beveiligingsonderzoekers krijgen bij Apple vaak slecht gehoor en weten niet wat er precies met hun meldingen wordt gedaan.
Ik neem aan als jij een bug/security bug vind en dit meldt aan appel dat je dan een beloning krijgt.

Maar als je geen reactie krijgt van Apple verwacht ik niet dat ze een belonging hebben gehad.


Meerdere keren zetten onderzoekers details online over gevonden kwetsbaarheden, omdat ze van Apple vaak niets terug hoorden. Ook beveiligingsonderzoekers vertellen soortgelijke verhalen; beveiligingsonderzoekers krijgen bij Apple vaak slecht gehoor en weten niet wat er precies met hun meldingen wordt gedaan.
Praten over tijd voor het Bounty program heb je weinig aan. Het gaat er om dat je er aan mee doet.
Soms zijn er meer meldingen over hetzelfde en dan krijg je als latere melder geen vergoeding.
Apple Security Bounty
Het gaat ook iets anders dan vanuit Beta iOS een melding maken dat een app het niet goed doet o.d.
Uiteraard begrijp ik dat normale hey dit werkt niet lekker niet beloond hoef te worden. Maar als ik https://habr.com/en/post/579714/
Lees is dat wel wat meer aan de hand als dit werkt niet helemaal lekker.
Dat is totaal niet relevant. Of je voor een kernel exploit nu 1 miljoen dollar krijgt van een onderneming die verlies maakt of van Apple dat miljarden verdient, het blijft 1 miljoen dollar. Het blijft een enorm bedrag voor het melden van een kernel exploit, ongeacht hoeveel omzet en winst Apple maakt.
Ik vind dat nogal een verschil. Want een hoop onderzoekers negeren ze en geven ze geen geld. En hebben miljarden winst per jaar. Maar 1 iemand een miljoen geven en alles is prima.
Het blijft een enorm bedrag voor het melden van een kernel exploit, ongeacht hoeveel omzet en winst Apple maakt.
Je moet het ook afzetten tegen de waarde van zo'n exploit. Er zijn voldoende dubieuze partijen die veel geld over hebben voor een remote kernel exploit voor iOS. Die beloning is er ook om mensen te motiveren om het juiste te doen en de bug te melden bij Apple ipv te verkopen op het dark web.

Of anders gezegd: een dubieuze partij zal nu meer dan 1 miljoen moeten betalen voor zo'n exploit, anders kan de vinder hem met minder risico aan Apple verkopen.

[Reactie gewijzigd door Aaargh! op 26 juli 2024 15:25]

Toch zal ook een bedrijf als Apple 20 miljoen niet zomaar over de balk smijten. Er is binnen een bedrijf ook niet 1 grote pot met geld waaruit alles gedaan wordt. Iedere unit, en daarbinnen ieder team heeft een jaarbudget. Dus om te weten of 20 miljoen veel is moet je eerst weten wat het budget is van het security team (en hoeveel R&D budget gereserveerd is voor security gerelateerd werk).
Je kunt als je een goede werkende exploit hebt (zero-day) verkopen aan de hoogste bieder. Zijn aardig wat landen en overheden en dergelijk die daar enorm belang bij hebben.

Ook in belang van opsporing een kitje met actueele exploits om telefoons mee te kraken is erg gewenst. Je kunt er een heel verdien c.q bedrijfsmodel op gaan baseren.
Ja dat klopt, ik zou het niet snel voor het kwaad gebruiken. Ik zie mijzelf toch als een principieel goedaardig mens. En ik ben dan ook voor een inclusieve welvarende samenleving waarbij welvaart en geluk voor iedereen is. Daarbij hoort dat als ik een exploit vind het meld bij de juiste instantie zodat het netjes verholpen wordt. Zoals Google ooit als slogan had: Dont be Evil.
Als ik een zware bug vind in een Apple produkt dan denk ik niet dat ik Apple daarvan op de hoogte ga stellen - waarom? Wantrouwen, fundamenteel wantrouwen. Net zoals bij de companen die wij Big Tech noemen.
Omdat je Apple niet vertrouwd laat je iedere Apple klant kwetsbaar voor een aanval ?

Leg eens even uit wat voor gedachtenkronkel hier achter zit, want ik snap 'm niet.

Op dit item kan niet meer gereageerd worden.