Bug-Bounty-Programm: Auch Apple will für Sicherheitslücken zahlen

Bis zu 200.000 Dollar sollen Sicherheitsforscher künftig erhalten, wenn sie kritische Schwachstellen still an den iPhone-Konzern melden – statt diese zu veröffentlichen oder anderweitig zu Geld zu machen.

In Pocket speichern vorlesen Druckansicht 7 Kommentare lesen
Jailbreak

Im vergangenen Jahr lobte eine Firma ein Millionen-Kopfgeld für eine schwere iOS-Lücke aus.

Lesezeit: 2 Min.
Von
  • Leo Becker

Geld für gemeldete Schwachstellen: Apple will Sicherheitsforscher bald entlohnen, wenn sie kritische Lücken direkt übermitteln, wie der Konzern auf der Sicherheitskonferenz Black Hat ankündigte. Das Bug-Bounty-Programm soll im Herbst starten und je nach Schwachstelle bis zu 200.000 Dollar bringen, berichtet Ars Technica. Den Höchstbetrag zahle das Unternehmen für Bugs im Secure-Boot-Mechanismus.

Ein Zugriff auf iCloud-Daten soll bis zu 50.000 Dollar einbringen ebenso wie das Ausführen von Schadcode mit Kernel-Rechten – eine derartige Sicherheitslücke hat Apple gerade mit iOS 9.3.4 geschlossen. Das Ausbrechen aus der Sandbox will Apple mit bis zu 25.000 Dollar entlohnen. Eine Lücke, die vertrauliche Informationen aus der "Secure Enclave" von Apples A-Chip-Reihe auslesbar macht, ist dem Unternehmen bis zu 100.000 Dollar wert.

Die Bugs müssen jeweils mitsamt eines Proof-of-Concepts an Apple gemeldet werden und auf der jeweils jüngsten iOS-Version sowie Hardware funktionieren. Zu Beginn will das Unternehmen offenbar nur mit einer kleinen Zahl an bekannten Sicherheitsforschern zusammenarbeiten, das Bug-Bounty-Programm im Laufe der Zeit aber weiter öffnen.

Während andere IT-Konzerne wie Google, Microsoft oder Facebook seit Jahren für Bugs bezahlen, hat sich Apple der Praxis bislang verweigert. Apple wolle nicht zum finanziellen Wettrüsten beim Bezahlen für Bugs beitragen, hieß es. Sicherheitsforscher, die Lücken mitteilten, erhalten bisher lediglich – soweit gewünscht – eine namentliche Nennung in den Veröffentlichungsnotizen des Konzerns.

Mit dem nun vorgestellten Bug-Bounty-Programm reagiert Apple nach eigener Angabe darauf, dass Fehler immer schwerer zu finden sind – und es soll zugleich Hacker davon abhalten, die Bugs an Firmen oder Regierungen zu verkaufen. Im vergangenen Jahr lobte eine Firma etwa 1 Million Dollar für eine Jailbreak-Schwachstelle aus, die die Sicherheitsmechanismen von iOS außer Kraft setzt. Im prominenten Streit zwischen Apple und dem FBI um das iPhone eines Terroristen hat die Bundespolizei schließlich Dritte dafür bezahlt, um Zugriff auf das iPhone zu erhalten. (lbe)