Apple kondigt een vernieuwing aan van zijn Apple Security Bounty-programma. Het bedrijf verdubbelt de maximale beloning tot 2 miljoen dollar, breidt het aantal onderzoekscategorieën uit en introduceert een nieuw systeem waarmee onderzoekers hun kwetsbaarheden sneller kunnen laten verifiëren en uitbetalen.
Sinds de lancering van het programma in 2020 heeft Apple meer dan 35 miljoen dollar uitgekeerd aan ruim 800 beveiligingsonderzoekers. Sommige meldingen leverden tot een half miljoen dollar op. Met de nieuwe opzet wil Apple geavanceerd onderzoek stimuleren naar aanvalstechnieken die vergelijkbaar zijn met die van commerciële spyware.
De hoogste beloning stijgt naar 2 miljoen dollar voor kwetsbaarheden die kunnen leiden tot een zogeheten zero-click remote compromise, waarbij geen gebruikersactie nodig is. Volgens Apple is dit de hoogste beloning in de sector. Via een bonussysteem voor bijvoorbeeld het omzeilen van Lockdown Mode of het ontdekken van kwetsbaarheden in bètasoftware kan de totale beloning zelfs oplopen tot meer dan 5 miljoen dollar.
Veel andere beloningen worden eveneens verhoogd. Aanvallen via draadloze nabijheid of one-click-aanvallen kunnen voortaan tot 1 miljoen dollar opleveren. Aanvallen op vergrendelde apparaten of ontsnappingen uit app-sandboxen zijn goed voor maximaal een half miljoen dollar, terwijl een volledige omzeiling van macOS Gatekeeper zonder gebruikersinteractie 100.000 dollar oplevert. Kleinere, maar geldige meldingen krijgen voortaan een aanmoedigingspremie van 1.000 dollar.
Directe beloning bijTarget Flags
Een van de opvallendste nieuwigheden is de introductie van zogeheten Target Flags. Dit zijn ingebouwde markers in Apple’s besturingssystemen waarmee onderzoekers objectief kunnen aantonen dat hun exploit daadwerkelijk werkt, bijvoorbeeld voor code-executie of sandbox-ontsnapping. Zodra Apple een Target Flag heeft gevalideerd, wordt de beloning direct toegekend, nog voordat er een beveiligingsupdate beschikbaar is. Volgens Apple moet dit het beoordelingsproces transparanter en sneller maken en het vertrouwen met de onderzoeksgemeenschap versterken.
De nieuwe structuur treedt in november 2025 in werking. Apple publiceert dan de volledige lijst met nieuwe categorieën, beloningen en richtlijnen op de website voor beveiligingsonderzoekers.
Apple versterkt platformbeveiliging
De herziening sluit aan bij Apple’s bredere strategie om de beveiliging van zijn platformen te versterken. De afgelopen jaren introduceerde het bedrijf functies zoals Lockdown Mode, verbeterde beveiliging in Safari en Memory Integrity Enforcement. Deze maatregelen maken het ontwikkelen van exploits complexer en duurder, wat onderzoekers extra moet motiveren om juist de moeilijkste aanvalsvectoren te blijven onderzoeken. Daarbij legt Apple voortaan meer nadruk op complete exploit chains, omdat die beter inzicht geven in de werking van echte dreigingen.
In 2026 start Apple een speciaal initiatief om maatschappelijke organisaties te helpen beschermen tegen spyware. Duizend iPhone 17-toestellen met Memory Integrity Enforcement worden dan beschikbaar gesteld aan organisaties die werken met risicogroepen. Tegelijk wordt het Security Research Device Program uitgebreid, zodat onderzoekers met deze toestellen verder onderzoek kunnen doen.
Met deze herziening wil Apple zijn bug bounty-programma toekomstbestendig maken en wereldwijd meer expertise aantrekken om de veiligheid van zijn ruim 2,3 miljard actieve apparaten te versterken.