Apple verdubbelt hoogste bug bounty-beloning naar 2 miljoen dollar

In dit artikel:

Apple vernieuwt zijn Security Bounty-programma: de maximale beloning gaat van 1 naar 2 miljoen dollar en het aantal onderzochte categorieën wordt uitgebreid. Sinds de start in 2020 keerde het bedrijf al meer dan 35 miljoen dollar uit aan ruim 800 onderzoekers; sommige meldingen leverden tot een half miljoen dollar op. Met de nieuwe opzet wil Apple vooral onderzoek stimuleren naar geavanceerde aanvalstechnieken, zoals zero‑click remote compromises waarvoor geen gebruikersactie nodig is.

Beloningsstructuur en voorbeelden:
- Tot 2 miljoen dollar voor zero‑click remote compromises (sectorwijd hoogste beloning volgens Apple).
- Bonussen (bijv. voor omzeiling van Lockdown Mode of kwetsbaarheden in bèta‑software) kunnen totale uitkeringen boven 5 miljoen dollar brengen.
- Draadloze nabijheidsaanvallen en one‑click exploits: tot 1 miljoen dollar.
- Aanvallen op vergrendelde apparaten en sandbox‑escapes: maximaal 500.000 dollar.
- Volledige omzeiling van macOS Gatekeeper zonder gebruikersinteractie: 100.000 dollar.
- Kleine, valide meldingen krijgen een aanmoedigingspremie van 1.000 dollar.

Nieuw is bovendien het Target Flags‑systeem: ingebouwde markers in Apple‑besturingssystemen waarmee onderzoekers kunnen aantonen dat een exploit werkt. Na validatie door Apple volgt directe uitbetaling, nog vóór een securityupdate beschikbaar is, wat snelheid en transparantie moet bevorderen.

De herziening gaat in november 2025 in. Als aanvulling start Apple in 2026 een initiatief om maatschappelijke organisaties tegen spyware te helpen—onder meer met 1.000 iPhone 17‑toestellen met Memory Integrity Enforcement—en breidt het het Security Research Device Program uit. Doel: meer expertise aantrekken om de veiligheid van ruim 2,3 miljard actieve Apple‑apparaten wereldwijd te versterken.