Numrush

‘Hackers verkopen lekken in iPhone en Mac liever niet aan Apple zelf’

Het is voor hackers niet aantrekkelijk genoeg om bugs in iOS en MacOS te verkopen aan Apple. Dat concludeert Motherboard, bijna een jaar nadat Apple zijn bug bounty-programma presenteerde. Met dit programma keert Apple geld uit aan hackers die fouten vinden in de besturingssystemen voor de iPhone en Mac.

Geen enkele hacker heeft echter publiekelijk bekendgemaakt dat hij een bug aan Apple heeft gemeld. Hackers kunnen tot 200.000 dollar krijgen als zij een lek doorgeven aan Apple. Maar op de ‘grijze markt’ zijn dit soort lekken veel meer geld waard. Het gaat dan om bedrijven die lekken kopen en vervolgens doorverkopen, bijvoorbeeld aan inlichtingendiensten.

Motherboard sprak met tien hackers die deelnemen aan het bug bounty-programma van Apple. Geen van hen zegt een lek aan het bedrijf te hebben gemeld. Het is opmerkelijk dat zij, of een andere hacker, nog niet publiek bekend heeft gemaakt een lek in iOS of MacOS te hebben gevonden. Naast de financiële beloning laat het ook de vaardigheden van deze persoon zien. De software van Apple wordt gezien als goed beveiligd, waarin het moeilijk is om te binnen te dringen. Het staat als beveiligingsonderzoeker goed op je cv als je daar een gat in weet te vinden.

Beloning

Het gebrek aan bewijs van meldingen aan het bug bounty-programma van Apple kan op twee manieren opgevat worden. Aan de ene kant zou het een teken kunnen zijn dat de software van Apple waterdicht is. Aan de andere kant kan het betekenen dat de beloning die Apple uitkeert te laag is voor de moeite die het kost om een lek te vinden, of dat de beloning die Apple biedt te laag is vergeleken met andere bedrijven. Volgens Motherboard, is dat laatste het geval. Wil Apple het bug bounty-programma succesvol maken, dan moet het aangepast worden, concludeert één beveiligingsonderzoeker.