Apple heeft de uitbreiding van de reikwijdte en de uitbetalingen van zijn beveiligingsbounty-programma aangekondigd. Nadat het programma eerst alleen op uitnodiging was gemaakt, moedigt het nu alle beveiligingsonderzoekers aan om deel te nemen. Bovendien kunnen onderzoekers die tot nu toe onbekende exploits in Apple-besturingssystemen en -services ontdekken, tot $ 1,5 miljoen verdienen, een enorme stijging ten opzichte van de vorige limiet van $ 200.000.
Eerder dit jaar sprak Apple's hoofd beveiligingstechniek Ivan Krstić op de Black Hat-conferentie in Las Vegas, Nevada om de plannen van het bedrijf te schetsen om zijn programma voor beveiligingstechnieken te verbeteren. Destijds merkte Krstić op dat Apple de toegang en uitbetalingen zou uitbreiden. Door het bereik en de uitbetaling van het programma uit te breiden, kan Apple helpen de waarschijnlijkheid te verkleinen die welke exploiteert zijn ontdekt zal in verkeerde handen vallen.
Om in aanmerking te komen, moet het probleem zich voordoen bij de nieuwste versie van Apple's release-besturingssystemen met een standaardconfiguratie en, waar relevant, op openbaar beschikbare hardware. Onderzoekers moeten de eerste partij zijn om het probleem aan Apple Product Security te melden en moeten ook aan andere vereisten voldoen.
Bounties vallen in vijf brede categorieën: iCloud, apparaataanval via fysieke toegang, apparaataanval via door de gebruiker geïnstalleerde app, netwerkaanval met gebruikersinteractie en netwerkaanval zonder gebruikersinteractie, met maximale uitbetalingen variërend van $ 100.000 voor een iCloud-exploit tot $ 1 miljoen voor een "nul-klik kernelcode-uitvoering met persistentie en kernel PAC-bypass."
Een uitbetaling van maximaal $ 1,5 miljoen zou mogelijk zijn omdat Apple ook een 50% bonus biedt voor "problemen die Apple niet kent en die uniek zijn voor aangewezen ontwikkelaars-bèta's en openbare bèta's, inclusief regressies."
Apple merkte op dat het naast de financiële beloning ook publieke erkenning biedt aan onderzoekers die geldige rapporten indienen. Het zal ook overeenkomen met donaties van de premiebetalingen die het doet aan in aanmerking komende goede doelen. Meer details zijn beschikbaar op de ontwikkelaarssite van Apple.
Zullen de genereuzere voorwaarden van Apple het helpen de beveiliging van het besturingssysteem nog verder te verbeteren, of denk je dat dit allemaal voor de show is? Geluid uit in de reacties.
