Neemt Apple beveiliging wel serieus genoeg?

Apple is vorig jaar begonnen met een zogenaamd bug bounty-programma, waarmee beveiligingsonderzoekers geld kunnen verdienen als ze bugs ontdekken. Het vinden van een lek waarmee je iCloud-data kunt onderscheppen levert bijvoorbeeld $50.000 op en als je data aan de Secure Enclave-chip weet te ontfutselen kun je $100.000 krijgen. Maar volgens betrokkenen betaalt Apple niet genoeg en valt er in het grijze circuit veel meer te verdienen. Dat roept de vraag op het rijke Apple wel de juiste prioriteiten legt.

Apple betaalt (te?) weinig voor bugs

Het ‘bijzondere’ van Apple is dat ze veel geld vragen voor hun producten, maar dat ze tegelijk erg zuinig zijn als ze zelf geld uit moeten geven. Apple wilde best iPhones in India gaan produceren, maar alleen als ze een flinke subsidie van de overheid kregen. En over Apple’s strategie om zo weinig mogelijk belasting te betalen is ook al het nodige gezegd en geschreven. Tegelijk klagen toeleveranciers dat Apple ze uitknijpt en als ze niet willen leveren, maakt Apple de onderdelen voortaan zelf. Daardoor zijn bedrijven als Imagination, Dialog, Synaptics en Cirrus Logic enorm afhankelijk geworden. Avnet Inc. besloot niet langer met Apple samen te werken omdat ze door de krappe marges bijna niets meer verdienden.

Iets soortgelijks lijkt nu aan de hand met Apple’s beloningsprogramma voor bugs, dat vorig jaar augustus werd aangekondigd. Beveiligingsonderzoekers en (white hat) hackers konden geld verdienen door bugs te melden. Maar echt lekker loopt het nog niet. Ten eerste is het programma alleen op uitnodiging. En ten tweede bewaren beveiligingsonderzoekers hun beste ontdekkingen voor de grijze markt, waar ze veel meer kunnen verdienen.

In een serie interviews kwam Motherboard erachter dat iOS-bugs te waardevol zijn om aan Apple zelf te melden. Motherboard interviewde tien onderzoekers, maar geen van hen had bugs bij Apple gemeld. In het grijze circuit valt meer te verdienen en bovendien kan het melden van een lek ervoor zorgen dat ze andere onderdelen van het besturingssysteem niet meer kunnen onderzoeken. “Je geeft geen bugs rechtstreeks aan Apple”, aldus Nikias Bassen, die namens Zimperium meedoet aan het programma. Als je een bug aan Apple meldt zal deze gepatcht worden, waardoor je zelf minder kans hebt om in het besturingssysteem door de dringen.

En dat is vreemd, want Apple benadrukt altijd hoe belangrijk beveiliging en privacy van klanten is. Het ontdekken van beveiligingslekken zou de hoogste prioriteit moeten hebben, maar bij Apple houdt de vergoeding op bij $200.000 voor exploits. Bedrijven zoals Zerodium zijn bereid om wel $1,5 miljoen te betalen voor bugs, terwijl andere bedrijven geen moeite hebben om een half miljoen dollar te betalen voor een goede bug. Ze zeggen dat ze binnen de wet opereren en bijvoorbeeld zero-day exploits verkopen aan geheime diensten en andere instanties. Apple is ook niet erg bereid om mee te werken. Goedwillende beveiligingsonderzoekers vroegen Apple om speciale ontwikkelaarstoestellen, waarmee ze dieper kunnen doordingen tot iOS. Apple weigerde.

Overigens betaalt Google ook tot $200.000 voor bugs die in Android worden ontdekt. Daarbij spelen eigenlijk dezelfde problemen: als je bugs meldt, worden ze gepatcht en daarmee snij je jezelf in de vingers als hacker. Maar Google geeft aan privacy een heel andere invulling. Google heeft daarnaast een eigen elite hackersteam (meer info achter betaalmuur), die het internet afstruint op zoek naar lekken.