2447533

Wird das iPhone so sicherer? Apple zahlt bis zu 1 Mio. für Sicherheitslücken

09.08.2019 | 13:24 Uhr | Stephan Wiesend

Auf Black Hat gab es eine wichtige Ankündigung: Apple will mit Sicherheitsforschern zusammenarbeiten und Prämien auszahlen.

Meldete man Sicherheitslücken bei Apple, etwa wie jüngst die Entwicklerin Natalie Silvanovich , erntete man dafür vom Milliardenkonzern Apple nur Ruhm und Ehre: Im Unterschied zu Firmen wie Microsoft, Facebook oder Google zahlt Apple bisher nämlich nur selten Prämien für entdeckte Sicherheitslücken – nur für iOS gibt es ein so genanntes Bug-Bounty-Programm, zu dem aber nur ausgewählte Forscher Zugriff haben. Für macOS-Sicherheitslücken gab es bisher grundsätzlich keine Prämien, worüber sich erst kürzlich ein deutscher Entwickler beschwerte .

Auf der Black-Hat-Konferenz hat Apple im Rahmen einer Veranstaltung nun angekündigt , dass der Hersteller dieses Programm im Laufe des Jahres stark ausweiten wird. Auch ohne Einladung durch Apple können dann „Bug Hunter“ für gemeldete Sicherheitslücken Prämien beanspruchen, der Betrag kann bis zu einer Million US-Dollar betragen. Wie Apples Leiter des Bereiches Security Engineering Ivan Krstić erklärte, soll es außerdem einen Bonus von 50 Prozent geben, wenn der Fehler in einer Pre-Release-Software festgestellt wird, also noch beispielsweise in iOS Beta.

Besonders hohe Prämien gibt es übrigens für Angriffe aus dem Netz, bei denen keine Nutzeraktionen erforderlich sind. So verspricht Apple für eine „Zero-click kernel code excution with persistence“ eine Auszahlung von einer Million Dollar, für die Umgehung des Lock Screen gibt es immerhin 100 000 Dollar.

Wie bereits vermutet, soll es für ausgewählte Entwickler außerdem spezielle iPhones geben: Im Rahmen eines iOS Security Research Device Program, das nächstes Jahr startet. Die Geräte sollen mit ssh, root shell und erweiterten Debug-Funktionen ausgestattet sein, bewerben können sich Entwickler mit nachweisbaren Erfolgen in der Sicherheitsforschung.

Unsere Meinung:

Das neue Programm ist nach unserer Einschätzung überfällig, offensichtlich werden nämlich neue iOS-Sicherheitslücken Apple nicht immer gemeldet. Schuld ist ein neues Ökosystem, über das wir bereits öfter berichteten : Findet ein Entwickler eine Sicherheitslücke, ist dies mit hohem zeitlichen Aufwand verbunden. Er kann seine Arbeitsergebnisse nun kostenlos an Apple übermitteln oder bei einer völlig legalen Plattform wie Zerodium verkaufen – bei Zerodium erhält er bis zu 2 Millionen US-Dollar Prämie. Ein schlechtes Gewissen muss der Forscher dabei nicht haben. Seine wertvollen Ergebnisse übermittelt Zerodium ja nicht an dubiose Hacker, sondern gibt sie nur an seriöse Sicherheitsfirmen weiter – die dann Strafverfolgungsbehörden beim Entsperren von iPhones und Regierungen bei der Überwachung von Staatsfeinden helfen. Möglicherweise ein Grund dafür, dass Apple plötzlich so hohe Prämien zahlt.

Macwelt Marktplatz

2447533