Ivan Kristić, hoofd beveiligingsontwikkeling van Apple, deed een hoop uit de doeken over Apple's platformbeveiliging tijdens zijn presentatie op securitycongres Black Hat. Hij beloofde veel grotere bounties, maar ook een nieuwe 'pre-jailbroken' iPhone voor een selecte groep van onderzoekers en dit apparaat komt volgend jaar beschikbaar.

De beveiligingschef legde uit dat Apple zich ervan bewust is dat veel beveiligingsprofessionals de apparaten willen onderzoeken, maar dat de hoge mate van beveiliging dit een klus maakt die veel tijd kost. De nieuwe apparaten die meteen al een jailbreak hebben gehad heeft wat minder van zulke beveiligingslagen, zodat het makkelijker is voor beveiligers om de systemen te onderzoeken op kwetsbaarheden.

Het iOS Security Research Device-programma

De iPhone heeft ssh, een root-shell en geavanceerde debug-capaciteiten. Hij is alleen beschikbaar voor genodigde leden van Apple's iOS Security Research Device-programma. Mensen met een goede historie aan beveiligingsonderzoek op welk platform dan ook kunnen zich opgeven, hoewel Apple een selectie maakt van wie daadwerkelijk worden uitgenodigd.

Soortgelijke apparaten worden ingezet in de fabrieken van Apple voor testdoeleinden en kwaliteitscontrole, wat een zwarte markt heeft opgeleverd onder beveiligingsonderzoekers, overheden en anderen - deze iPhones worden regelmatig uit de fabrieken ontvreemd en te koop aangeboden. Het idee is dat door het platform een klein stukje te openen, beveiligingsonderzoekers het de moeite waard zullen vinden om naar kwetsbaarheden te zoeken, terwijl tegelijkertijd die zwarte markt minder aantrekkelijk wordt.

Hoge beloningen

Apple begrijpt wat de beveiliging van zijn platform waard is en begrijpt ook dat beveiliging een business is. Daarom stimuleert het onderzoek om fouten door te geven aan het bedrijf, in plaats van aan concurrenten of criminelen. Met dat in het achterhoofd heeft Apple de maximale beloning opgeschroefd van twee ton naar een miljoen dollar, met een aanvullende 50 procent verhoging voor onderzoekers die kwetsbaarheden ontdekken als een OS nog in bèta is. (Het programma begint dit najaar.)

De beloningen lopen uiteen. Bijvoorbeeld het omzeilen van het vergrendelingsscherm levert 100.000 dollar op, een data-extractie 250.000 en een netwerkaanval zonder gebruikersactie waarbij waardevolle gebruikersdata kan worden uitgelezen levert 500.000 op. De beloningsschaal is ook nodig, want criminelen, overheden en andere dubieuze groeperingen betalen miljoenen om in te breken op iPhones, iPads en Macs.

Apple hoopt zo sneller onbekende fouten dicht te timmeren. Het bedrijf looft beloningen uit aan onderzoekers die beveiligingslekken identificeren in Macs, iPads, iPhones, Apple TV, Apple Watch en iCloud.

Breder onderzoek nodig

Onderzoekers zetten Apple al tijden onder druk om een beter bugbounty-programma in het leven te roepen. De fabrikant begon daar in 2016 al mee, maar alleen voor iOS en ook toen enkel voor voorgeselecteerde onderzoekers. Krstić vertelde op Black Hat dat Apple vijftig belangrijke kwetsbaarheden heeft vernomen in die eerste drie jaar van het bugbounty-programma. Apple heeft dat nu opengesteld voor alle onderzoekers en niet alleen genodigde researchers.

Dit is nog een logische stap om ervoor te zorgen dat er minder gebruik wordt gemaakt van kleine exploits in de systemen om gebruikers alsnog te volgen, persoonlijke data op te slurpen of op andere manieren beveiliging te ondermijnen. In de afgelopen maand dook er een serie iPhone-exploits in het wild op. In iOS 12.4 werden zes kritieke kwetsbaarheden die door Google's Project Zero waren opgemerkt gerepareerd, inclusief gaten waardoor kwaadwillenden op afstand apparaten konden benaderen zonder gebruikersinteractie.

Update vandaag nog

Er is een duidelijk patroon rond Black Hat: allerlei beveiliginspatches verschijnen in de regel daags voor het congres, gevolgd door een tweede ronde de komende maand, waarin net onthulde kwetsbaarheden ook nog eens worden gepatcht. Op Black Hat werden meerdere iOS-kwetsbaarheden besproken, waarvan vele eerst zijn besproken met Apple en gepatcht zijn in 12.4.

Nu negentig procent van iOS-apparaten iOS 12 draait, raad ik iedereen aan om zo spoedig mogelijk te updaten naar de recentste versie van het besturingssysteem. Gezien het soort kwetsbaarheden dat is onthuld, zouden ook systeembeheerders die zich bezighouden met IT-beveiliging en patches haast moeten maken met het goedkeuren van de laatste update voor brede uitrol.