Danny Weber
16:03 10-10-2025
© A. Krivonosov
Apple herziet zijn bug-bounty-programma: tot $5 mln voor extreem kritieke bugs, $2 mln voor spyware-achtige exploitketens. Focus op iOS en Lockdown Mode.
Apple voert in november een grote herziening van zijn bugbounty-programma door en zet daarmee een van de royaalste beloningen in de sector neer. Het hoogste bedrag voor exploitketens met de complexiteit van spyware-aanvallen wordt verdubbeld van $1 miljoen naar $2 miljoen. Voor uiterst kritieke kwetsbaarheden – waaronder bugs in bètaversies of een omzeiling van Lockdown Mode in Safari – kan de beloning oplopen tot $5 miljoen.
Ook in andere aanvalsscenario’s gaan de bedragen flink omhoog. One‑click‑exploits komen nu in aanmerking voor maximaal $1 miljoen, in plaats van $250.000. Het plafond voor kwetsbaarheden die fysieke nabijheid tot een apparaat vereisen, stijgt naar $1 miljoen, terwijl toegang tot vergrendelde toestellen tot $500.000 kan opleveren. Daarnaast betaalt Apple tot $300.000 voor een keten die code-uitvoering in WebContent combineert met een sandbox-escape.
Volgens Ivan Krstić, vice-president security bij Apple, heeft het bedrijf de afgelopen jaren meer dan $35 miljoen uitgekeerd aan ruim 800 onderzoekers. Hij gaf aan dat zulke hoge uitbetalingen zeldzaam zijn, al heeft Apple meerdere keren $500.000 neergelegd voor kritieke bugs.
Apple benadrukt dat gedocumenteerde aanvallen op iOS op systeemniveau in de praktijk zijn terug te voeren op zogenoemde huurlingen‑spyware, vaak ingezet door overheidsinstanties voor gerichte surveillance. Nieuwe verdedigingslagen, zoals Lockdown Mode en Memory Integrity Enforcement, maken zulke aanvallen lastiger, ook al blijven tegenstanders hun tactieken aanscherpen. Door de beloningen op te schroeven maakt Apple duidelijk waar het de aandacht van onderzoekers wil hebben: bij de zwaktes met de grootste impact op echte veiligheidssituaties.