Bedrijven als Google, Microsoft en Facebook zijn er al een tijdje mee bezig, nu lanceert ook Apple het zogeheten ‘Security Bounty Program’. Middels het initiatief moeten kwetsbaarheden in software ontwikkeld door het bedrijf eerder gevonden en verholpen kunnen worden, dankzij de hulp van mensen van buitenaf.Tot nu toe is Apple altijd erg streng geweest naar mensen toe die beveiligingslekken in bijvoorbeeld iOS wisten te vinden. Het werd hard veroordeeld, dit tot enorme kritiek van mensen die dit voor hun werk doen. Daar komt nu verandering in.
Tijdens de Black Hat 2016-conferentie in Las Vegas kondigde Apple-beveiligingsexpert Ivan Krstić het Security Bounty Program voor iOS aan. Krstić vertelde over wat dit in zal houden. Om te beginnen zal het aanvankelijk alleen voor mensen gelden die een uitnodiging van Apple hebben ontvangen. Die mensen mogen dan exploits en andere zaken met betrekking tot beveiliging onder de loep gaan nemen en deze melden bij het bedrijf. In ruil hiervoor krijgen ze een beloning die, afhankelijk van het soort issue, tot $200.000 dollar kan zijn. In eerste instantie kan er worden uitbetaald op basis van de volgende zaken, met tussen haakjes de maximale beloning:
- Secure boot firmware componenten ($200.000)
- Extractie vertrouwelijk materiaal beschermd middels de Secure Enclave-processor ($100.00)
- Uitvoeren van willekeurige code met kernel privileges ($50.000)
- Onbevoegde toegang tot iCloud-account gegevens op de Apple servers ($50.000)
- Toegang vanaf een sandbox-proces om gebruikersgegevens buiten die sandbox ($25.000)
Dit klinkt allemaal erg technisch, en dat is het ook. Simpel gezegd houdt het in dat als het iemand lukt bijvoorbeeld toegang te krijgen tot de gegevens van een iCloud-account op Apple’s eigen servers, die persoon tot $50.000 kan krijgen voor het opsporen en melden hiervan. Vanaf september gaat het programma van start, zo wist Krstić te melden.
Het initiatief zal alom geprezen worden, zeker nu dat Apple in het rijtje bij Google, Microsoft en Facebook kan. Zoals eerder aangegeven deden die bedrijven al eerder aan dit Bug Bounty Program.
En dit is overigens meer dan welkom. Want hoewel iOS nog steeds het best beveiligde mobiele besturingssysteem is, horen we steeds vaker over zogenaamde exploits. Deze maken onder andere jailbreaken mogelijk, maar zijn ook zeer gewild onder hackers die gebruikers kwaad willen doen. Door beloningen aan te bieden voor het opsporen van zulke exploits motiveert het bedrijf mensen actief op zoek te gaan hiernaar. Apple kan dan vaker en sneller updates uitbrengen om die exploits dicht te timmeren.
Toevallig werd trouwens deze week iOS 9.3.4 uitgebracht waarmee zo’n exploit gedicht is. Goed voor de gewone gebruikers, slecht nieuws voor mensen die aan jailbreaken doen.
Tom de Beer
Techblogger en Apple-fan in hart en nieren, student netwerkbeheer, en altijd bereid kennis en ervaring op te doen over alles dat met technologie te maken heeft. Tevens gecertificeerd Microsoft Office Specialist Master, taalfanaat en enorme fan van Céline Dion.
