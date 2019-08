Seit 2016 bietet Apple ein eigenes Bug-Bounty-Programm für Fehlerjäger an. Doch dem fehlen entscheidende Elemente. So sind etwa die sicherheitsrelevanten Lücken, für deren Auffindung es bis zu 200.000 US-Dollar geben soll, allein auf iOS beschränkt. Einem Bericht zufolge soll sich das nun endlich ändern. Wie das US-Wirtschaftsblatt Forbes unter Berufung auf informierte Kreise schreibt, will Apple eine Erweiterung des Bug-Bounty-Programms noch diese Woche auf der Sicherheitskonferenz Black Hat in Las Vegas präsentieren.

Wie viel Geld gibt's und wer darf mitmachen?

Apple hat die Meldung bislang nicht kommentiert. So ist noch unklar, wie viel Geld es für Mac-Fehler geben wird. Sicherheitsexperten hatten sich immer wieder über dieses Versäumnis des Konzerns beschwert – zuletzt hatten einige sogar gedroht, Apple keine Lücken mehr zu melden. Ob der Konzern ein weiteres Problem seines Bug-Bounty-Programms angeht – die Beschränkung auf zuvor ausgewählte Sicherheitsforscher –, ist ebenfalls unklar. In jüngster Zeit hatte Apple hier immerhin einmal eine Ausnahme gemacht.

Ungesicherte iPhones für Sicherheitsforscher

Laut Forbes plant Apple jedoch, das Fehlersuchprogramm um ein entscheidendes Element zu erweitern. So sollen Sicherheitsforscher erstmals Zugriff auf spezielle, ungesicherte iPhones erhalten, um Lücken zu finden, die sonst nicht leicht erreichbar sind. Es handelt sich dabei um sogenannte Dev Devices, die manchmal aus Apples Lieferkette entfleuchen und dann auf Internet-Plattformen verkauft werden.

Dev Devices sind angreifbar

Ihnen fehlen Sicherheitsmerkmale von Endkundengeräten, was tiefe Einblicke ins Betriebssystem, die Firmware und Hardwarekomponenten zulässt. Apple scheint sich zu erhoffen, so Sicherheitslücken frühzeitiger zu erkennen. Allerdings sollen die Geräte auch nicht vollständig offen sein, heißt es in dem Bericht. Apple plane "Lite"-Versionen der Dev Devices für die Sicherheitsforscher. So soll eine Entschlüsselung bestimmter Softwarebereiche tabu bleiben.

