In 2016 werd het Apple Security Bounty gelanceerd, waardoor ontdekkers van zwakheden in de software van Apple beloningen krijgen. Die kunnen aardig oplopen, voor “Network attack without user interaction” staat de maximale beloning bijvoorbeeld op maar liefst één miljoen dollar.

Vijf hackers hebben de afgelopen drie maanden al hun aandacht op Apple gericht, en ze vonden maar liefst 55 zwakheden in het systeem en ze hebben die allemaal aangemeld bij het Apple Security Bounty programma. Op hun blog-pagina hierover melden ze dat er bij Apple erg goed hierop gereageerd werd, de meeste zwakheden werden binnen vier tot zes uur opgelost, de gemiddelde tijd lag tussen één en twee werkdagen.

Zero-day in Sign in with Apple - bounty $100khttps://t.co/9lGeXcni3K

— Bhavuk Jain (@bhavukjain1) May 30, 2020

De reden dat ze hieraan begonnen was een tweet eind mei van hacker Bhavuk Jain, die meldde dat hij 100.000 dollar door het Apple Security Bounty programma had gekregen, en dat leek ze ook wel wat.

Hun zoektocht door de duizenden webservers van Apple leverde heel wat op. De eerder genoemde 55 zwakheden zijn op dit moment gebundeld in 32 gevallen met een totaalbedrag van 288.500 dollar, dat is dus 57.700 dollar per persoon. Niet slecht voor een kleine vier maanden werk en het ziet er naar uit dat ze nog niet klaar zijn. De hele blog-post is beslist de moeite van het lezen waard, hieronder de conclusie:

Conclusion

When we first started this project we had no idea we'd spend a little bit over three months working towards it's completion. This was originally meant to be a side project that we'd work on every once in a while, but with all of the extra free time with the pandemic we each ended up putting a few hundred hours into it.

Overall, Apple was very responsive to our reports. The turn around for our more critical reports was only four hours between time of submission and time of remediation.

Since no-one really knew much about their bug bounty program, we were pretty much going into unchartered territory with such a large time investment. Apple has had an interesting history working with security researchers, but it appears that their vulnerability disclosure program is a massive step in the right direction to working with hackers in securing assets and allowing those interested to find and report vulnerabilities.

Writing this blog post has been an interesting process as we were a bit unsure how to actually go about doing it. To be honest, each bug we found could've probably been turned into a full writeup with how much random information there was. The authentication system Apple uses was fairly complex and to reference it with 1-2 sentences felt as if we were cheating someone out of information. The same thing could be said about many elements within Apple's infrastructure like iCloud, the Apple store, and the Developer platform.

As of now, October 8th, we have received 32 payments totaling $288,500 for various vulnerabilities.

However, it appears that Apple does payments in batches and will likely pay for more of the issues in the following months.

We've obtained permission from the Apple security team (product-security@apple.com) to publish this and are doing so under their discretion. All of the vulnerabilities disclosed here have been fixed and re-tested. Please do not disclose information pertaining to Apple's security without their permission.

met dank aan forumlid ‘puk1980’, die dit nieuws als eerste meldde op het forum

Houdt Apple van de straat!

$50.000 is een beetje mager voor zo'n lijst aan issues, maar de uitbetalingen zijn nog niet afgerond.

Within the article I'd mentioned that Apple had not yet paid for all of the vulnerabilities. Right after publishing it, they went ahead and paid for 28 more of the issues making the running total $288,500.

Within the article I'd mentioned that Apple had not yet paid for all of the vulnerabilities. Right after publishing it, they went ahead and paid for 28 more of the issues making the running total $288,500: pic.twitter.com/WtOfndu298

— Sam Curry (@samwcyo) October 8, 2020

@puk1980: vind ik ook; mager betaald, ook als de vergoeding nog verdubbeld of verdriedubbeld wordt. Dat soort bedragen, die voor Apple een peuleschil zijn, staan niet in verhouding tot het belang van de aangedragen informatie.

Dit bewijst maar weer eens, hoe relatief al die beweringen betreffende veiligheid en privacy zijn. Een paar hele slimme jongens gaan aan het werk, en hebben binnen een paar maanden een waslijst aan kwestbaarheden in kaart gebracht, waaronder een aantal cruciale.

En zullen deze jongens de eersten zijn geweest die deze kwetsbaarheden ontdekten, of zullen anderen hen misschien zijn voor geweest, die hun informatie hebben verkocht aan kwaadwillenden die wellicht beter betaalden dan Apple? Joost mag het weten, en toch is het goed altijd met die mogelijkheid rekening te houden.

Ook die jongens komen in de verleiding. Die 50000 dollar staat niet in verhouding. Wat mij betreft mag het direct van de miljoenen van het persoonlijk inkomen van de CEO afgetrokken worden. Iets betere kwaliteitscontrole zou wel fijn zijn.