Apple-gebruikers zijn niet helemaal immuun tegen cyber bedreigingen en kwetsbaarheden. Zo, is het niet zo verwonderlijk dat Apple heeft besloten om zijn bug bounty programma uit te breiden tot meer onderzoekers door het verhogen van de maximale uitbetaling aan $1 miljoen.
De aankondiging werd een paar dagen geleden gemaakt door Ivan Krstić, hoofd van Apple's security engineering en architectuur, tijdens de Black Hat security conferentie in Las Vegas. Het programma is gepland voor volgend jaar te lanceren, en het zal geselecteerde onderzoekers speciale iOS-apparaten om te zoeken naar zwakke plekken te geven.
Maximale vergoeding in Apple's Bug Bounty is nu $1 miljoen
De maximale uitkering van de bug bounty is ingesteld op $1 miljoen, en het is bedoeld voor hardnekkige kernel-niveau beveiligingsfouten dat er geen interactie met de gebruiker vereisen. Overall, Apple heeft de uitbetalingen verhoogd voor andere kwetsbaarheden en problemen.
Het meest interessante ding over het geactualiseerde bug bounty programma is dat Apple van plan is om de toegang tot pre-release software verlenen. Premiejagers zal ook worden toegestaan in de toegang tot iOS, inclusief apparaten die komen met SSH. MacOS, iCloud, tvOS, en iPadOS, en watchos zijn ook opgenomen in het programma, in tegenstelling tot de huidige versie die alleen bestaat uit iOS en iCloud.
Volgens een Krstić presentatie tijdens de conferentie, het programma zal open zijn “iedereen met een record van hoogwaardige systemen security onderzoek op elk platform".
De hoogste vorige betaling in de Apple's bug bounty programma was $200,000, een betaling voor de ontdekking van een fout in veilige laars firmware componenten. Onderzoekers had ook om te worden uitgenodigd om deel te nemen, waarin het programma beperkt door standaard. De verandering in het programma veroorzaakt positieve feedback door de gemeenschap, waaronder Patrick Wardle, een van de bekende Apple security experts.
bullet-proof beveiliging van Apple is een mythe
Een recent rapport van de TU Darmstadt en Northeastern University onderzoekers blijkt dat kwetsbaarheden in AWDL (Apple Wireless Directe link) zou aanvallers in staat om gebruikers te volgen, crash apparaten, of onderscheppen bestanden overgebracht tussen apparaten in man-in-the-middle (MitM) aanvallen.
Vanuit gebruikersperspectief, AWDL maakt een apparaat dat op een infrastructuur gebaseerde draadloos netwerk te blijven en te communiceren met AWDL peers gelijktijdig met snel hoppen tussen de kanalen van de twee netwerken (AWDL maakt gebruik van vaste sociale kanalen 6, 44, en 149), StackOverflow gebruikers schreef.
Volgens het rapport, "met implementaties over meer dan een miljard apparaten, verspreid over verschillende Apple besturingssystemen (iOS, MacOS, tvOS, en watchos) en steeds meer verschillende apparaten (Mac, iPhone, iPad, Apple Watch, Apple TV, en HomePod), Apple Wireless Directe link (ode) is alomtegenwoordig en speelt een belangrijke rol in het mogelijk maken apparaat-naar-apparaat communicatie in de Apple ecosysteem."