Apple introduceert een uitgebreid bug bounty-programma dat zowel macOS, tvOS, watchOS en iCloud als iOS-apparaten omvat, kondigde Apple's hoofd beveiligingstechniek Ivan Krstić vanmiddag aan op de Black Hat-conferentie in Las Vegas.
Apple introduceerde zijn bug bounty-programma voor iOS-apparaten in augustus 2016, waardoor beveiligingsonderzoekers die bugs in iOS opsporen, een contante uitbetaling kunnen ontvangen voor het bekendmaken van de kwetsbaarheid aan Apple. Voorheen werden niet-iOS-apparaten niet meegeleverd, een stap die eerder werd bekritiseerd door de beveiligingsgemeenschap.
Apple's gebrek aan een macOS bug bounty-programma haalde eerder dit jaar de krantenkoppen toen een Duitse tiener aanvankelijk weigerde details over een grote macOS Keychain-beveiligingsfout te overhandigen omdat Apple geen uitbetaling had. Hoewel hij uiteindelijk de informatie aan Apple verstrekte, zei hij dat hij hoopte dat zijn weigering Apple zou inspireren om zijn bug bounty-programma uit te breiden, wat het bedrijf inderdaad heeft gedaan.
Met de lancering van het nieuwe macOS bug bounty-programma stelt Apple later dit jaar zijn bug bounties open voor alle onderzoekers en verhoogt het de maximale omvang van de bounty van $ 200.000 per exploit tot $ 1 miljoen, afhankelijk van de aard van de beveiligingsfout. Een zero-click kernelcode-uitvoering met persistentie levert het maximale bedrag op.
Onderzoekers die kwetsbaarheden in pre-release software ontdekken voordat ze algemeen worden vrijgegeven, kunnen in aanmerking komen voor een bonus van maximaal 50 procent bovenop het basisbedrag voor bug bounty.
Zoals gemeld eerder deze week , is Apple ook van plan om doorgelichte en vertrouwde beveiligingsonderzoekers en hackers te voorzien van 'dev' iPhones, oftewel speciale iPhones die diepere toegang bieden tot de onderliggende software en het besturingssysteem waardoor kwetsbaarheden gemakkelijker kunnen worden ontdekt.
Apple biedt deze iPhones aan als onderdeel van het nieuwe iOS Security Research Device Program, dat volgend jaar van start gaat. Het doel van Apple met deze nieuwe bug bounty-inspanningen is om extra beveiligingsonderzoekers aan te moedigen kwetsbaarheden bekend te maken, wat uiteindelijk zal leiden tot veiligere apparaten voor consumenten.
(Bedankt, BeveiligingSteve!)
Populaire Berichten