Apple biedt recordbedrag van miljoen dollar bij iPhone-bug bounty

Apple biedt beveiligingsonderzoekers nu maximaal 1 miljoen dollar (893 duizend euro) als ze een fout vinden in iPhones. Dat is het hoogste bedrag dat een bedrijf ooit heeft aangeboden bij een zogeheten bug bounty.

Apple verandert hiermee ook zijn beleid rondom bug bounties, schrijft Reuters. Eerder gaf het bedrijf alleen beloningen aan beveiligingsonderzoekers die uitgenodigd werden om fouten te vinden in de telefoons en cloud-backups van het bedrijf.

Tijdens de Black Hat-conferentie in Las Vegas kondigde de fabrikant aan dat het proces voortaan open staat voor alle onderzoekers. Ook worden Mac-software en andere doelwitten toegevoegd aan de bug bounty-programma’s, met verschillende beloningen voor de meest significante vondsten.

Apple neemt ook andere stappen om onderzoek te vereenvoudigen. Zo biedt het bedrijf nu een aangepaste telefoon aan waarbij een aantal beveiligingsmaatregelen zijn uitgeschakeld.

Miljoen dollar

De beloning van een miljoen dollar geldt alleen voor fouten waarbij er op afstand toegang kan worden verkregen tot de kernel van de iPhone, zonder dat de eigenaar van de telefoon hier een actie voor uit hoeft te voeren.

Eerder was de hoogste bounty die Apple uitgaf 200.000 dollar. Die beloning werd uitgegeven aan meldingen van fouten die opgelost kunnen worden met software-updates en niet open blijven staan voor criminelen of spionnen.

Andere programma’s

Bug bounties komen veel voor bij tech-bedrijven, die op deze manier hopen kwetsbaarheden te vinden die ze anders niet tegen waren gekomen. Microsoft lanceerde in januari bijvoorbeeld nog een geheel nieuw programma specifiek voor zijn Azure DevOps-dienst. Gevonden kwetsbaarheden worden daarbij beloond met maximaal 20.000 dollar.

GitHub – tegenwoordig ook onderdeel van Microsoft – breidde zijn programma eerder dit jaar uit en verhoogde zijn beloningen. Voor de meest kritische kwetsbaarheden wordt nu maximaal 30.000 dollar uitgeloofd. Reden dat GitHub zijn beloningen verhoogde, was dat het steeds moeilijker zou worden om beveiligingskwetsbaarheden te vinden in de code van het platform.