Apple verhoogt maximale bugbountybeloning en introduceert 'target flags'

Apple verhoogt de maximale beloning voor de meeste van zijn bugbounty's. De hoogste beloning stijgt van 1 miljoen dollar naar 2 miljoen dollar. Dat is de hoogste publieke bugbounty die er te vinden is. Ook breidt Apple het bugbountyprogramma uit met onder andere 'target flags', mijlpalen die het bedrijf zelf in zijn code zet om een bug te verifiëren.

Apple zegt dat het zijn bugbountyprogramma op meerdere punten aanpast, met name op de maximale beloningen. De maximale beloning verdubbelt van 1 naar 2 miljoen dollar. Dat is een exploit waarmee een gebruiker een aanval kan uitvoeren op afstand zonder tussenkomst van een gebruiker. Dat is erg ingewikkeld en wordt doorgaans alleen gedaan door groepen staatshackers die daarvoor miljoenen euro's aan budget hebben. De kans dat iemand zo'n bug aandraagt bij Apple is dan ook niet groot.

Verder stijgen ook andere prijzen, in sommige gevallen met een factor vier. Een bug voor een aanval op afstand waarbij een gebruiker met een klik kan worden geïnfecteerd, levert niet maar 250.000 dollar op, maar 1 miljoen. Hetzelfde geldt voor een bug voor een aanval waarbij gebruikers draadloos maar binnen bereik een apparaat kunnen infecteren.

Bug Oude beloning Nieuwe beloning
Zero-click chain, op afstand zonder gebruikersinteractie 1 miljoen dollar 2 miljoen dollar
One-click chain, op afstand met één klik gebruikersinteractie 250.000 dollar 1 miljoen dollar
Draadloze aanval met fysieke nabijheid bij toestel 250.000 dollar 1 miljoen dollar
Fysieke toegang tot een vergrendeld apparaat 250.000 dollar 500.000 dollar
Aanval naar SPTM-bypass vanuit app-sandbox 150.000 dollar 500.000 dollar

De nieuwe beloningen zijn de hoogste die er op dit moment voor ethische hackers te verkrijgen zijn. Bij Google ligt het hoogste bugbountybedrag op 1,5 miljoen dollar, voor een blijvende exploit in de Titan M-soc. Overigens lopen zulke beloningen ver achter op wat er op de markt kan worden verdiend met zulke bugs; bedrijven als Zerodium betaalden in 2019 al 2,5 miljoen dollar voor soortgelijke bugs op iOS.

Apple verwacht niet dat individuele gebruikers of teams een bug aandragen in die hoogste categorie. Het bedrijf zegt wel dat het beloningssysteem 'nieuwe perspectieven en ideeën uit de beveiligingsonderzoekerscommunity moet stimuleren'.

Naast de hogere beloningen voegt Apple ook nieuwe categorieën toe die in de scope van het bugbountyprogramma vallen. Browserengine WebKit is daar het voornaamste voorbeeld van. Hackers kunnen maximaal 300.000 dollar krijgen als ze WebContent-code kunnen uitvoeren om uit de sandbox te ontsnappen, maar de beloning kan ook lager uitvallen naar gelang de impact. Verder komen de nieuwe C1- en C1X-modems uit de recente iPhones in de scope, net als Apples eigen N1-chip voor wifi, bluetooth en Thread. Als hackers een bug vinden waarmee het mogelijk is via een draadloze verbinding een zeroclickaanval uit te voeren, kunnen ze daarvoor maximaal 1 miljoen dollar beloning krijgen.

Target flags

Apple voegt verder een interessant element toe aan zijn bugbountyprogramma: zogenaamde 'target flags'. Die flags zijn vergelijkbaar met de doelwitten die hackers tijdens capture the flag-wedstrijden kunnen halen. Apple zet in zijn code verschillende flags die hackers kunnen vinden. Ze kunnen die flags dan gebruiken als bewijs dat ze bepaalde stappen in een bugchain hebben gezet.

Normaal gesproken moeten hackers voor een goede bugbeschrijving een uitgebreide rapportage schrijven met gedetailleerde beschrijvingen over hoe ze bij iedere stap van de bugchain kwamen. De flags maken dat makkelijker; door die mee te sturen, kunnen hackers bewijzen dat ze een bepaalde stap hebben bereikt. Dat maakt het ook weer eenvoudiger voor Apple om een bug deels te verifiëren; een bugrapportage is dan geen alles-of-nietsproces meer, maar draait dan meer om de manier waarop een bug werd bereikt.

Apple kondigde in 2016 zijn bugbountyprogramma aan, als laatste van de grote techbedrijven en aanvankelijk in gesloten fase. Het programma had jaren moeite op stoom te komen, maar Apple zegt dat het bugbountyprogramma nu succesvol is. Het bedrijf zegt sinds 2020 35 miljoen dollar aan beloningen te hebben uitgekeerd aan 800 hackers. Meerdere keren ging het om beloningen van 500.000 dollar, zegt het bedrijf.

Door Tijs Hofmans

Nieuwscoördinator

10-10-2025 • 15:13

11

Reacties (11)

Sorteer op:

Weergave:

Hoe moet ik die "target flags" juist zien? Lijkt me niet dat dat gewoon stukjes tekst zijn die je in de code kan vinden, want dat lijkt me makkelijk om eruit te extracten zonder exploit...
Ik veronderstel dat 't files / constants met hashes gaan zijn, die her en der verspreid staan over het filesysteem, in de kernel en specifieke libraries. Waarschijnlijk device specifiek.

Zaken waar een gewone gebruiker / een developer niet aan kan. Afhankelijk van wat je kan aantonen, moet je dan specifieke rechten verkregen hebben.
Beetje 't kaf van 't koren scheiden.

Het moet nogal irritant zijn om dagelijks mails te krijgen van mensen die overtuigd zijn dat ze 't systeem gekraakt heeft. (Want chatGPT heeft dat gezegd / bevestigd - groeiend probleem op github)
Naast files zouden het ook gedefinieerde variabelen in het geheugen kunnen zijn: dan is er ook een manier om iets over process scope te zeggen.
Lijkt me best leuk om te doen als hobby. Je leert er een hoop van en als je geluk hebt wordt je nog flink beloond ook :).
Lijkt me best leuk om te doen als hobby. Je leert er een hoop van en als je geluk hebt wordt je nog flink beloond ook :).
Ergens wel. Al blijft het dat beloningen op de zwarte markt vaak meer waard zijn. En er zijn genoeg hackers die liever op de zwarte markt het geld verdienen, dan eeuwen te wachten op het geld via een bugbounty van Apple.
Ja, maar dan moet je helemaal naar Beverwijk, bij Apple kan het tenminste online.
Let op, dit zijn maximum prijzen. Als je een bug vindt, en rapporteert, dan kan Apple een prijs uitreiken. Maar ze kiezen zelf of ze dat doen, aan wie ze die geven en hoe hoog die zal liggen.
Natuurlijk eerst prijs overeenkomen voordat je de exploit gaat uitleggen.
Beetje cynisch van de auteur dat een bug alleen gerapporteerd wordt als er wat te verdienen valt. Niet iedereen wil geld verdienen zodat een regime of organisatie lekker kan spioneren. Sommigen willen gewoon het goede doen en zorgen dat we met z'n allen veilig zijn. Die bounty kan dan een leuke extra zijn of zelfs vervanging van een baan ernaast.
Gezien de bounties gaan gelden voor de meest recente hardware en software lijkt het erop alsof Apple veel vertrouwen heeft in Memory Integrety Enforcement. Hopelijk motiveert het meer onderzoekers en helpt dit meer gevaarlijke exploit chains fixen.


Om te kunnen reageren moet je ingelogd zijn