Bug Bounty: Google-Hacker fordert Millionen von Apple ein
Apple unternehme zu wenig, um kritische Bugs in iOS zu beseitigen, moniert ein auf iPhone-Schwachstellen spezialisierter Sicherheitsforscher.
Beers Bug-Bounty-Kalkulation mit den an Apple gemeldeten Schwachstellen.
Für an Apple gemeldete Bugs will der Google-Sicherheitsforscher Ian Beer nun Geld sehen, um dieses zu spenden: Seit der Einführung von Apples Bug-Bounty-Programm habe er 30 Fehler, die entscheidende Teile des Sicherheitsmodells von iOS aushebeln können, in detaillierter Form an den iPhone-Hersteller gemeldet, wie Beer auf der Hacker-Konferenz Black Hat in Las Vegas erklärte.
Apple zahlt das Geld für gemeldete Schwachstelle aber nur an eingeladene Entwickler aus, trotz der Menge an kritischen Bugs wurde Beer nie für Apples Bug-Bounty-Programm berücksichtigt.
Geplante Spende: 2,45 Millionen Dollar für 30 schwere iOS-Bugs
Nach Beers Kalkulation sind die von ihm gemeldeten Schwachstellen den von Apple vorgegebenen Preisstufen entsprechend gut 1,2 Million Dollar wert. Wollen Sicherheitsforscher die auf diese Weise erhaltene Summe spenden, hat Apple eine Verdopplung des Betrages versprochen – entsprechend kommt Beer auf insgesamt 2,45 Millionen Dollar, die er an Amnesty International überweisen will.
Mit der Aktion will Beer auf ein weiteres Problem hinweisen: Der Konzern unternehme viel zu wenig eigene Forschung rund um Sicherheit, um schwerwiegende Bugs in iOS frühzeitig zu ermitteln und auszuräumen, betonte der Sicherheitsforscher. Einen der von ihm gemeldeten Bugs habe er zum Beispiel in einem Jahre alten Buch gefunden, der sicherheitsrelevante Fehler habe aber selbst in der aktuellen Version iOS 11 noch bestanden. Erst auf seinen Hinweis hin, habe Apple die Lücke behoben.
Solange derartige Sicherheitsprobleme bei Apple nicht auf Führungsebene eingestanden werden, bessere sich auch nichts, so Beer.
Apple kümmert sich zu wenig um Bugs
Beer zeigt sich sicher, dass ein Großteil der von ihm gemeldeten Bugs bereits zuvor von anderen gefunden wurde – und aktiv für Angriffe ausgenutzt wird. Aktivisten und Menschenrechtler könnten so leicht zu Zielen werden, merkt der Sicherheitsforscher an und verweist auf einen Bericht von Amnesty über gezielte Angriffsversuche auf eigene Mitarbeiter mit Spionage-Software.
Der Sicherheitsforscher sieht allerdings nicht nur Apple in Zugzwang, auch die anderen Geräte- und Betriebssystemhersteller wie Google und Samsung würden diese Schwachstellen weitestgehend ignorieren. Die Branche hoffe durch verschiedene Schutztechniken (“Mitigations”) auf verbesserte Sicherheit statt Bugs aufzuspüren und auszuräumen – dies sei "gefährlich naiv".
Apples Bug-Bounty-Programm wird immer wieder kritisiert, zuletzt etwa auch, weil dieses nur für iOS gilt – nicht aber für macOS. (lbe)
