Apples Bug Bounty: "Wer mit Sicherheitslücken Geld verdient, meldet sie nicht an Apple"

Bis zu 200.000 US-Dollar will Apple Experten zahlen, die schwere Lücken in seinen Betriebssystemen finden. Eine Befragung ergab nun, dass dies dem Vergleich mit Schwarzmarktpreisen nicht standhält.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 23 Beiträge
iPhone 7

Das iPhone gilt als schwer zu knacken – weshalb mancher Exploit-Händler für Bugs Millionen zahlt.

(Bild: dpa, Joel Carrett)

Von
  • Ben Schwan

Seit nicht ganz einem Jahr betreibt Apple ein eigenes Bug-Bounty-Programm: 200.000 US-Dollar bekommt dabei beispielsweise derjenige Sicherheitsforscher, der Bugs im Secure-Boot-Modus des iPhone findet, die einen Exploit ermöglichen. Insgesamt scheint Apples Bug-Bounty-Programm jedoch noch nicht besonders gut anzukommen, wie eine Befragung von Sicherheitsforschern durch das IT-Blog Motherboard nun ergab.

Neben den bekannten Apple-IT-Security-Experten Patrick Wardle (Synack) und Nikias Bassen (Zimperium) äußerten sich auch noch acht weitere Sicherheitsforschern ohne Namensnennung, die von Apple zu seinem Fehlerjägerprogramm eingeladen worden waren.

Wardle sagte offen, iOS-Bugs seien derzeit "zu wertvoll, um sie an Apple zu melden". Bassen schlug in die selbe Kerbe: "Wer das für das Geld macht, gibt seine Bugs nicht direkt an Apple." Zuvor hatten Exploit-Händler für schwerwiegende Lücken bereits Millionen-Beträge offeriert. Diese verkaufen ihre Erkenntnisse dann unter anderem an staatliche Hacker – für noch mehr Geld.

Apple hatte 2016 eine ausgewählte Gruppe von Sicherheitsforschern eingeladen, darunter Wardle und den bekannten iPhone-Jailbreaker Luca Todesco. Bei dem Treffen wurden sie zum Bug-Bounty-Programm eingeladen, das zunächst nicht allen externen Sicherheitsforschern offenstehen sollte. Auch Apple-Softwarechef Craig Federighi kam und stellte sich vor. Zuvor hatte Apple kein eigenes Bug-Bounty-Programm gehabt, das bei anderen Unternehmen wie Google, Facebook oder Microsoft längst zum Standard gehört (siehe Mac & i Heft 5/2016 mit allen Hintergründen).

Aktuell können Forscher Beträge zwischen 25.000 und 200.000 Dollar erhalten, wenn sie Lücken in Apple-Produkten finden. Neben dem Hack der Secure-Boot-Firmware ist dies unter anderem das Knacken der Secure Enclave (100.000 Dollar), die Ausführung von beliebigem Kernel-Code (50.000 Dollar), das Knacken von iCloud-Account-Daten (50.000 Dollar) sowie das Laufenlassen von Prozessen außerhalb der Sandbox (25.000 Dollar). Apple soll intern lange am Bug-Bounty-Programm gewerkelt haben. Bei Apple sei man eben "perfektionistisch", sagte ein ehemaliger Angestellter aus dem Sicherheitsbereich. (bsc)