Apple verhoogt de maximale beloning voor de meeste van zijn bugbounty's. De hoogste beloning stijgt van 1 miljoen dollar naar 2 miljoen dollar. Dat is de hoogste publieke bugbounty die er te vinden is. Ook breidt Apple het bugbountyprogramma uit met onder andere 'target flags', mijlpalen die het bedrijf zelf in zijn code zet om een bug te verifiëren.
Apple zegt dat het zijn bugbountyprogramma op meerdere punten aanpast, met name op de maximale beloningen. De maximale beloning verdubbelt van 1 naar 2 miljoen dollar. Dat is een exploit waarmee een gebruiker een aanval kan uitvoeren op afstand zonder tussenkomst van een gebruiker. Dat is erg ingewikkeld en wordt doorgaans alleen gedaan door groepen staatshackers die daarvoor miljoenen euro's aan budget hebben. De kans dat iemand zo'n bug aandraagt bij Apple is dan ook niet groot.
Verder stijgen ook andere prijzen, in sommige gevallen met een factor vier. Een bug voor een aanval op afstand waarbij een gebruiker met een klik kan worden geïnfecteerd, levert niet maar 250.000 dollar op, maar 1 miljoen. Hetzelfde geldt voor een bug voor een aanval waarbij gebruikers draadloos maar binnen bereik een apparaat kunnen infecteren.
Bug | Oude beloning | Nieuwe beloning |
Zero-click chain, op afstand zonder gebruikersinteractie | 1 miljoen dollar | 2 miljoen dollar |
One-click chain, op afstand met één klik gebruikersinteractie | 250.000 dollar | 1 miljoen dollar |
Draadloze aanval met fysieke nabijheid bij toestel | 250.000 dollar | 1 miljoen dollar |
Fysieke toegang tot een vergrendeld apparaat | 250.000 dollar | 500.000 dollar |
Aanval naar SPTM-bypass vanuit app-sandbox | 150.000 dollar | 500.000 dollar |
De nieuwe beloningen zijn de hoogste die er op dit moment voor ethische hackers te verkrijgen zijn. Bij Google ligt het hoogste bugbountybedrag op 1,5 miljoen dollar, voor een blijvende exploit in de Titan M-soc. Overigens lopen zulke beloningen ver achter op wat er op de markt kan worden verdiend met zulke bugs; bedrijven als Zerodium betaalden in 2019 al 2,5 miljoen dollar voor soortgelijke bugs op iOS.
Apple verwacht niet dat individuele gebruikers of teams een bug aandragen in die hoogste categorie. Het bedrijf zegt wel dat het beloningssysteem 'nieuwe perspectieven en ideeën uit de beveiligingsonderzoekerscommunity moet stimuleren'.
Naast de hogere beloningen voegt Apple ook nieuwe categorieën toe die in de scope van het bugbountyprogramma vallen. Browserengine WebKit is daar het voornaamste voorbeeld van. Hackers kunnen maximaal 300.000 dollar krijgen als ze WebContent-code kunnen uitvoeren om uit de sandbox te ontsnappen, maar de beloning kan ook lager uitvallen naar gelang de impact. Verder komen de nieuwe C1- en C1X-modems uit de recente iPhones in de scope, net als Apples eigen N1-chip voor wifi, bluetooth en Thread. Als hackers een bug vinden waarmee het mogelijk is via een draadloze verbinding een zeroclickaanval uit te voeren, kunnen ze daarvoor maximaal 1 miljoen dollar beloning krijgen.
Target flags
Apple voegt verder een interessant element toe aan zijn bugbountyprogramma: zogenaamde 'target flags'. Die flags zijn vergelijkbaar met de doelwitten die hackers tijdens capture the flag-wedstrijden kunnen halen. Apple zet in zijn code verschillende flags die hackers kunnen vinden. Ze kunnen die flags dan gebruiken als bewijs dat ze bepaalde stappen in een bugchain hebben gezet.
Normaal gesproken moeten hackers voor een goede bugbeschrijving een uitgebreide rapportage schrijven met gedetailleerde beschrijvingen over hoe ze bij iedere stap van de bugchain kwamen. De flags maken dat makkelijker; door die mee te sturen, kunnen hackers bewijzen dat ze een bepaalde stap hebben bereikt. Dat maakt het ook weer eenvoudiger voor Apple om een bug deels te verifiëren; een bugrapportage is dan geen alles-of-nietsproces meer, maar draait dan meer om de manier waarop een bug werd bereikt.
Apple kondigde in 2016 zijn bugbountyprogramma aan, als laatste van de grote techbedrijven en aanvankelijk in gesloten fase. Het programma had jaren moeite op stoom te komen, maar Apple zegt dat het bugbountyprogramma nu succesvol is. Het bedrijf zegt sinds 2020 35 miljoen dollar aan beloningen te hebben uitgekeerd aan 800 hackers. Meerdere keren ging het om beloningen van 500.000 dollar, zegt het bedrijf.