Apple begint bugbountyprogramma voor AI, zet virtuele omgeving op voor hackers

Apple begint een bugbountyprogramma om zijn eigen AI-model te laten testen. Hackers kunnen tot maximaal een miljoen dollar verdienen als ze bugs vinden in Private Cloud Compute. Apple biedt daarvoor een virtuele omgeving aan.

Apple biedt hackers en beveiligingsonderzoekers de mogelijkheid om de beveiliging van Private Cloud Compute te testen. Het bedrijf heeft daarvoor documentatie online gezet. Het bedrijf heeft hiervoor een virtuele omgeving opgezet waarmee onderzoekers PCC in een afgesloten omgeving kunnen testen. "De Virtual Research Environment bestaat uit tools die het mogelijk maken om je eigen securityonderzoek naar PCC te doen vanaf je Mac", zegt Apple. Het gaat om een virtuele machine waar gebruikers de software van een PCC-node kunnen draaien, inclusief het bootproces en de kernel. In die omgeving zit ook een virtuele Secure Enclave Processor die data beveiligd opslaat, vergelijkbaar met wat er in Apples eigen servers zit.

Onderzoekers kunnen beloningen ontvangen als ze bugs aandragen in het systeem. Die lopen uiteen van tussen 50.000 dollar voor onverwachte data-lekken via configuratie-instellingen tot maximaal een miljoen dollar voor de mogelijkheid om code uit te voeren met bepaalde rechten. Apple zegt dat het alle aangedragen bugs naar rato wil beoordelen, ook als die buiten de officiële categorieën vallen.

Apple AI bugbountyprogramma

Apple is met programma voor zijn eigen doen opvallend vooruitstrevend. Het bedrijf kreeg in het verleden veel kritiek omdat het lang geen officieel bugbountyprogramma had. Ook was het bedrijf vaak onduidelijk over wat er binnen en buiten de scope van zijn programma viel en communiceerde het vaak slecht met onderzoekers. Tweakers schreef daar in 2021 een achtergrondartikel over.

Dat het bedrijf nu niet alleen in een vroeg stadium een bugbountyprogramma begint, maar ook nog eens een aparte virtuele omgeving voor onderzoekers opzet, is daarom extra opvallend. Eerder begon het bedrijf al wel met een beperkte proef waarbij het iPhones met minder restricties uitdeelde aan beveiligingsonderzoekers, maar dat gebeurt slechts op een kleine schaal.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 25-10-2024 14:49
10 • submitter: wildhagen

25-10-2024 • 14:49

10

Submitter: wildhagen

Lees meer

Apple fikste bug waarmee ieder bluetoothapparaat via Find My kon worden gevolgd
Apple fikste bug waarmee ieder bluetoothapparaat via Find My kon worden gevolgd Nieuws van 28 februari 2025
Russische exploithandelaar biedt 20 miljoen dollar voor iOS- en Android-zerodays
Russische exploithandelaar biedt 20 miljoen dollar voor iOS- en Android-zerodays Nieuws van 27 september 2023
Apple gaat opnieuw iPhones met minder restricties uitdelen aan onderzoekers
Apple gaat opnieuw iPhones met minder restricties uitdelen aan onderzoekers Nieuws van 1 september 2023
Apple keerde 20 miljoen aan bugbounty's uit sinds 2019 en vernieuwt platform
Apple keerde 20 miljoen aan bugbounty's uit sinds 2019 en vernieuwt platform Nieuws van 29 oktober 2022
Apples bugbountyprogramma komt maar moeilijk op gang
Apples bugbountyprogramma komt maar moeilijk op gang Nieuws van 2 oktober 2021
Minister wil bugbountyprogramma opzetten voor Nederlandse corona-app
Minister wil bugbountyprogramma opzetten voor Nederlandse corona-app Nieuws van 15 oktober 2020
Meer producten en artikelen
Beveiliging en antivirus Apple bugbounty Hack Hackers

Reacties (10)

-Moderatie-faq
10
10
5
1
0
1
Wijzig sortering
hEgelia 25 oktober 2024 15:07
Wat het nieuwsartikel niet vermeld is dat Apple tevens de broncode beschikbaar stelt voor bepaalde (belangrijke) componenten van Private Cloud Compute. De projecten waarvoor ze broncode vrijgeven zijn:
  • Het CloudAttestation-project, dat verantwoordelijk is voor het construeren en valideren van de attesten van het PCC-knooppunt.
  • Het Thimble-project, dat de privatecloudcomputed daemon bevat die op het apparaat van een gebruiker draait en CloudAttestation gebruikt om verifieerbare transparantie af te dwingen.
  • De splunkloggingd-daemon, die de logboeken filtert die kunnen worden uitgezonden door een PCC-knooppunt om te beschermen tegen toevallige openbaarmaking van gegevens.
  • Het srd_tools-project, dat de VRE-tooling bevat en dat gebruikt kan worden om te begrijpen hoe de VRE het uitvoeren van de PCC-code mogelijk maakt.
De Private Cloud Compute broncode is te vinden in het apple/security-pcc-project op GitHub.

[Reactie gewijzigd door hEgelia op 25 oktober 2024 15:07]

Ananas_hoi 26 oktober 2024 15:27
Goedkope manier voor Apple om beveiligingslekken te vinden, of een marketingstunt? Of wellicht een beetje van beide?
Wraldpyk @Ananas_hoi26 oktober 2024 21:35
Alle bughunting programma's zijn goedkope manieren om lekken te vinden, en tegelijkertijd verdienen vele mensen een flink salaris door deze programma's. Het is nu eenmaal heel lastig om dit uit te zoeken en als je externe mensen toelaat zet je de deur open naar veel meer expertise.

Het is echt een win-win-win situatie voor iedereen deze programma's.
CharlesND 25 oktober 2024 15:24
- knip -

Het geeft onderzoek tot in detail de gelegenheid om te zien of Apple inderdaad alleen precies dat doet met de data van de gebruikers zoals Apple belooft. En beschermen van privacy van de gebruiker is nu eenmaal een sterk verkooppunt voor Apple dus die zekerheid is voor gebruikers aantrekkelijk.

De meeste mensen zullen zich eerder zorgen maken over wat er gebeurd met hun data en privacy gevoelige informatie die ze delen met bedrijven als Google, Meta en Open AI dan dat ze het erg vinden als de software die ze gebruiken een paar bugs bevat.

Dat zouden ze tenminste moeten vinden....

[Reactie gewijzigd door Bor op 27 oktober 2024 17:29]

AlRoke @CharlesND25 oktober 2024 16:26
Of Apple meer doet met de data dan ze beweren zouden de onderzoekers niet opmerken, want als Apple in het geheim meer zou doen dan ze zeggen dan zouden ze die functionaliteit ook niet aan de onderzoekers tonen in de gedeelde broncode, en dan zouden ze die functionaliteit ook voor de zekerheid niet op de virtuele omgeving aan hebben staan. Punt is: Je kunt of Apple geloven, of ze niet geloven, maar dit zou totaal geen verschil moeten maken. Dit is gewoon een erg positief publiek bug bounty programma. Niks nieuws onder de zon, maar wel altijd positief.
jpsch @AlRoke25 oktober 2024 22:24
Apple draait op eigen hardware, al geven ze de hele broncode vrij, dan bestaat altijd nog de mogelijkheid dat er iets in de hardware zit ingebakken.
HansRemmerswaal @CharlesND25 oktober 2024 17:15
… wordt door het niet zo van Apple gecharmeerde team redacteuren van Tweakers natuurlijk niet genoemd:
Ik zie niet helemaal de toegevoegde waarde van deze opmerking.
Prullenbak84 @HansRemmerswaal26 oktober 2024 08:41
Ik zie die ook niet. Het is immers algemeen bekend ;)

(Let op voor u deze reactie modereert: het is een grapje)

[Reactie gewijzigd door Prullenbak84 op 26 oktober 2024 08:42]

Sebast1aan @CharlesND25 oktober 2024 15:36
Thanks.
DJ Henk @CharlesND26 oktober 2024 09:26
De meeste mensen zullen zich eerder zorgen maken over wat er gebeurd met hun data en privacy gevoelige informatie die ze delen met bedrijven als Google, Meta en Open AI dan dat ze het erg vinden als de software die ze gebruiken een paar bugs bevat.
De meeste mensen zijn hopelijk verstandig genoeg om te beseffen dat ze in alle gevallen hun ziel uitleveren aan een Amerikaanse multinational die louter op winst en kwartaalcijfers gericht is. Zo lang je niet in staat bent om op je eigen apparatuur met behulp van vrij beschikbare broncode verifieerbaar tot hetzelfde systeem te komen zit er altijd een component van vertrouwen in. Dat in combinatie met de vorige zin is een probleem dat niet weggenomen wordt en wellicht überhaupt niet eens op te lossen is.

Het programma zal de boel veiliger maken, hopelijk. Zodat het probleem in ieder geval kleiner wordt. Maar het geeft geen enkele garantie dat "Apple inderdaad alleen precies dat doet met de data van de gebruikers zoals Apple belooft."

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq