Update 20 December: Apple’s eerder aankondiging van afgelopen augustus is vanaf vandaag ingegaan. Dat betekent dat iedere beveiligingsonderzoeker nu bugs in kan sturen naar Apple’s Bug Bounty-programma. Je kan beveiligingsproblemen melden voor zowel iOS als iPadOS, macOS, tvOS en watchOS. De maximale beloning is 1 miljoen dollar en totaal kan het oplopen tot 1,5 miljoen dollar. Op Apple’s eigen pagina vind je meer informatie over het vernieuwde Apple Security Bounty.
Oorspronkelijk artikel
Bug bounty van 1 miljoen
Update 9 augustus 2019: Er staan nog meer veranderingen op stapel bij Apple’s securityteam: het bug bounty-programma staat voortaan open voor elke beveiligingsonderzoeker en er worden speciale iPhones beschikbaar gesteld om bugs op te sporen (zie verderop). Het maximale bedrag van 1 miljoen dollar is vijf keer zo hoog als voorheen. Hoe ernstiger het lek, hoe hoger de bonus. Het maximale bedrag van 1 miljoen wordt uitgekeerd als iemand de kernel van iOS kan kraken zonder tussenkomst van de gebruiker. Het bug bounty-programma werd aangekondigd tijdens de BlackHat-conferentie in Las Vegas.
Hieronder lees je ons eerdere artikel van 6 augustus.
Het security-team van Apple gaat het anders aanpakken. Het bedrijf zou plannen hebben om speciale iPhones weg te geven aan beveiligingsonderzoekers. Het gaat om pre-jailbroken toestellen die minder zijn afgeschermd. Ook zou Apple voor het eerst een vergoeding willen geven voor bugs die in macOS worden ontdekt.
De speciale iPhones moeten het gemakkelijker maken om kwetsbaarheden en andere beveiligingsproblemen te vinden. Dat zeggen bronnen die op de hoogte zijn van de plannen. Apple zou van plan zijn om het nieuwe bug bounty-programma aan te kondigen tijdens de Black Hat-beveiligingsconferentie in Las Vegas, die begin deze week van start is gegaan en nog tot donderdag duurt. Op donderdag staat er een presentatie van Ivan Krstić gepland, Apple’s hoofd security engineering. Hij gaat volgens het conferentieprogramma een kijkje achter de schermen geven bij iOS en macOS. Krstić was ook degene die in 2016 het bug bounty-programma voor het eerst aankondigde. Volgens Forbes is er een omslag gaande bij Apple’s Security-team.
Speciale pre-jailbroken iPhones
Het is niet zo, dat je je straks zomaar kunt aanmelden voor een gratis iPhone. De toestellen zijn bedoeld voor externe beveiligingsonderzoekers waar Apple al nauw mee samenwerkt. Je kunt alleen op uitnodiging lid worden van deze groep.
Het gaat om zogenaamde ‘dev devices’, waarbij onderdelen van het besturingssysteem gemakkelijker toegankelijk zijn, dan op een iPhone die je in de winkel koopt. Zo kun je bijvoorbeeld gemakkelijker het geheugen inspecteren op een bepaald moment, zodat je bepaalde kwetsbaarheden op het spoor kunt komen. Ook kunnen de ontwikkelaars zien wat er op het niveau van de code gebeurt tijdens een aanval. Het beoogde resultaat is dat Apple eerder bugs ontdekt en dat kwetsbaarheden sneller opgelost kunnen worden.
Toch is er op deze speciale iPhones nog niet alles mogelijk. Ze worden beschreven als lire-versies van de normale developertoestellen die Apple intern gebruikt voor eigen personeel. Zo is er voor externe ontwikkelaars waarschijnlijk geen mogelijkheid tot decryptie van de iPhone-firmware. Soms lekken die interne iPhone-prototypes uit en leveren ze veel geld op. Hackers gebruiken dergelijke toestellen meestal niet om Apple te helpen, maar om kwetsbaarheden te vinden waar ze in het grijze circuit veel geld voor kunnen vragen. Het gaat dan bijvoorbeeld om oplossingen die aan overheden en andere partijen worden verkocht, om in te breken op de iPhone van een verdachte of slachtoffer.
Eerder bleek uit onderzoek van Motherboard dat Apple’s bug bounty-programma van geen meter liep, omdat Apple te lage vergoedingen geeft. Hackers kunnen veel meer geld krijgen als ze gevonden kwetsbaarheden rapporteren aan commerciële hackers zoals Zerodium, die de kwetsbaarheden exploiteren.
Apple zou tijdens de Black Hat-conferentie ook van plan zijn om een bug bounty-programma voor macOS aan te kondigen. Voorheen was er alleen een beloning voor mensen die kwetsbaarheden in iOS ontdekten; nu komt daar ook macOS bij. Beveiligingsonderzoekers vragen daar al jaren om, maar Apple leek er weinig interesse in te hebben. Dat kwam nog eens extra aan het licht toen in februari de Duitse tiener Linus Henze een belangrijk lek in de macOS Sleutelhanger ontdekte, maar weigerde om de details bekend te maken, omdat Apple geen beloning wilde geven. Henze gaf uiteindelijk toch toe, omdat hij vond dat de kwetsbaarheid te ernstig was om geheim te houden.
- 2019 - 20 december: Artikel bijgewerkt na aankondiging van Apple over de start van het vernieuwde Security Bounty-programma.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Gerucht: 'Apple werkt aan Vision Air in een nieuwe kleur' (17-04)
- 'Zo komt de achterkant van de iPhone 17 Pro eruit te zien' (17-04)
- 'Apple werkt aan de Vision Pro 2: dit wordt er aan verbeterd' (14-04)
- Gerucht: 'iPadOS 19 wordt meer als macOS dankzij deze drie verbeteringen' (14-04)
- Gerucht: 'Apple Watch krijgt ondersteuning voor Apple Intelligence (maar eerst alleen op de Ultra)' (10-04)
Eindelijk was aan het wachten op het bonusprogramma. Nu nog wachten op hoeveel de verloning zal zijn. Zit hier met zo’n 4 ontdekte lekken die vrij significant zijn.
Je portemonnee ?
Nou, dan hierbij een melding van een onveilige iMessage bug: iedereen blijkt een verzendadres te kunnen maken in iMessage zonder dat de werkelijke afzender nog te achterhalen is. Daarbij kan iedere bestaande naam bij de ontvanger als afzender in beeld komen. Dus ook je bank, die je altijd onder die afzendernaam je TAN-code en andere vertrouwelijke info stuurt. Sterker nog: het berichtje verschijnt gewoon in de rij berichtjes van je bank met keurig netjes een email verzendadres van die bank. Hyperlinkje in zo’n bericht en voor je het weet ben je phishing slachtoffer.
Hoe is het in hemelsnaam mogelijk dat Apple in zijn eigen iMessage het mogelijk maakt om berichten te versturen zonder dat afzender bekend is? Daar kunnen toch alleen oplichters baat bij hebben? Juist Apple heeft hier de mogelijkheid om de veiligheid en privacy van zijn klanten te beschermen met dit alleen door Apple=gebruikers benutbare netwerk. Maar ze investeren liever in opvouwbare beeldschermen en beloven een beloning voor wie de systeemfouten meldt.
Mag ik graag even horen waar het loket van deze kassa iz?
@Walden:Dank je Walden. Ik heb ‘m aangemeld. Ik laat je weten hoeveel ik heb ontvangen.
@Walden: Zie ook: ‘iPhone kwetsbaar voor hacking via iMessage-berichten’
(Red.) Artikel bijgewerkt na aankondiging van Apple over de start van het vernieuwde Security Bounty-programma.