Apple Apple lanceert Bug Bounty-programma op Black Hat USA 2016

Apple heeft eindelijk een bug bounty-programma.

Ivan Krstic, hoofd van beveiligingsbedrijf en architectuur van het bedrijf, heeft tijdens een Black Hat USA 2016 hackercongres in Las Vegas in de nacht van 4 augustus het alleen-uitnodigingsprogramma aangekondigd tijdens een zeldzame openbare verschijning.

Krstic, wiens team verantwoordelijk is voor de end-to-end beveiliging van alle Apple-producten, zei dat het bedrijf tot $ 200.000 zal betalen voor bugs die zijn geïdentificeerd tijdens zijn presentatie op donderdag, genaamd "Behind the Scenes of iOS Security."

Compensatie is afhankelijk van hack: toegang tot sandbox-app-gegevens is maximaal $ 25.000, terwijl het compromitteren van veilige opstartfirmware-componenten maximaal $ 200.000 kan opleveren.

Het belonen van hackers om beveiligingskwetsbaarheden te onthullen in plaats van ze in het geheim te misbruiken, is steeds gebruikelijker geworden - iedereen van Uber tot het Pentagon doet dat.

De verschuiving van Apple van het vertrouwen op de goodwill van onderzoekers naar het aanbieden van een beloning voor het melden van bugs wordt waarschijnlijk gemotiveerd door de hack van een iPhone 5c die is verbonden met de San Bernardino-opnamen van 2015. Het publiek weet weinig over de hack en kan nog steeds worden gebruikt om te breken in een iPhone.

Black Hat-deelnemer Robert McCarthy getweet:

Publiek: 'Hoeveel heeft de FBI-kwestie uw positie beïnvloed?'

Ivan Krstic: "Ik ben een ingenieur hier om technische vragen te beantwoorden"

Zelfs de FBI, die een nog onbekende derde betaalde om de iPhone te hacken toen Apple weigerde te helpen in de zaak, weet niet hoe het apparaat is aangetast. Het zou misschien niet eens weten hoeveel de hack echt kostte, zoals de bewering van FBI-directeur James Comey dat het ongeveer $ 1,3 miljoen kostte, werd weerlegd door latere rapporten die beweerden dat het eigenlijk minder dan $ 1 miljoen kostte.

Die dubbelzinnigheid is des te zorgwekkender omdat de FBI niets op het apparaat heeft gevonden. Dit betekent dat een van 's werelds meest vooraanstaande wetshandhavingsinstanties een onbekende hoeveelheid geld aan een onbekend bedrijf heeft gegeven om een ​​onbekende hack uit te voeren - en daarmee bewijst dat het kan worden gedaan en dat iedereen met een iPhone 5c het risico loopt - zonder iets terug te krijgen.

Met een bug bounty-programma kan Apple sommige van die variabelen elimineren en zijn producten veiliger maken. Toch is het raar dat het programma met enkele tientallen onderzoekers begint en alleen op uitnodiging uitbreidt. Het doel van een bugbounty-programma is meestal om zoveel mogelijk mensen te laten rondneuzen in verschillende beveiligingsfuncties om te zien wat ze kunnen omzeilen.

Apple is naar verluidt van plan om na verloop van tijd meer mensen uit te nodigen voor het programma en om iedereen die een ernstige kwetsbaarheid via andere kanalen meldt "uit te nodigen", maar voorlopig lijkt het erop dat Apple slechts zijn tenen in de bugbounty-pool dompelt. Dat is kenmerkend voor het bedrijf, dat vaak voorzichtig is, maar waarschijnlijk ontmoedigend zal zijn voor iedereen die zo snel mogelijk om de beloningen wilde wedijveren.

Toch is dit onmiskenbare vooruitgang voor Apple. Zo was Krstic in de eerste plaats te zien op een evenement als Black Hat USA. Gecombineerd met andere veranderingen, zoals de beslissing om de iOS 10-kernel niet te versleutelen, lijkt het erop dat de erfenis van de San Bernardino-aflevering een Apple kan zijn die uit de schaduw verdwijnt, zodat het de vele mensen die zijn producten gebruiken een beetje veiliger kan houden.