Geld für Schwachstellen: Apple zahlt für FaceTime-Lücke, nicht für macOS-Bugs

Das stille Übermitteln einer gravierenden FaceTime-Lücke soll entlohnt werden: Man wolle der Familie des Teenagers, der die Schwachstelle bei einer Verabredung zu einer Partie Fortnite entdeckt hatte, eine Vergütung zukommen lassen, wie Apple gegenüber US-Medien mitteilte. Der 14-Jährige erhalte außerdem einen Zuschuss für seine Studiengebühren, hieß es. Die Summe wurde nicht genannt.

Apple reagierte erst nach Veröffentlichung der Schwachstelle

Es ist der erste öffentlich bekannte Fall, in dem Apple außerhalb seines Bug-Bounty-Programms für das Melden einer Schwachstelle bezahlt. Die Familie hatte offenbar über einen Zeitraum von mehr als einer Woche versucht, den Konzern auf die Lücke aufmerksam zu machen. Apple reagierte allerdings erst mit einer Notfallabschaltung des VoIP-Dienstes, als der Bug durch ein Twitter-Video ein Millionenpublikum fand. Der iPhone-Hersteller stellte in Aussicht, seine Meldeprozesse zu verbessern. US-Politiker haben dem Konzern mangelnde Transparenz vorgeworfen und fordern Antworten.

Der Fehler, der das Fernaktivieren des Mikrofons auf iPhone, iPad und Mac erlaubt, wurde mit Sicherheits-Updates für die Betriebssysteme iOS und macOS am Donnerstagabend ausgeräumt. Neben dem Teenager wird in Apples Release Notes eine weitere Person genannt, die den Bug offenbar auch entdeckt und gemeldet hatte. Ob diese ebenfalls entlohnt werden soll, bleibt unklar.

Erneut Kritik an fehlender Entlohnung für Mac-Bugs

Apple hat ein Bug-Bounty-Programm erst 2016 aufgelegt. Bis zu 200.000 Dollar sollen für verschiedene iOS- und iCloud-Schwachstellen gezahlt werden, allerdings nur an Entwickler, die von Apple dazu erst eingeladen wurden. Auf dem Grau- und Schwarzmarkt für iPhone-Sicherheitslücken sind diese Bugs meist erheblich mehr wert.

Für macOS-Sicherheitslücken lobt der Hersteller bislang kein Geld aus. Dies wird nicht nur regelmäßig von Sicherheitsforschern kritisiert, sondern führte vor einem Jahr auch zur Veröffentlichung eines Zero-Day-Exploits durch einen verärgerten Entwickler. Gravierende Fehler wie die Root-Schwachstelle in macOS High Sierra wurden auch erst beseitigt, nachdem diese mediale Aufmerksamkeit erhielten. Aktuell warnt ein Sicherheitsforscher vor einer schweren Lücke im zentralen Schlüsselbund von macOS bis hin zu Mojave, will aber aus Protest über die fehlende Bug Bounty die Details nicht an den Hersteller übermitteln.

Ebenfalls interessant:

• Bug Bounty: Google-Hacker fordert Millionen von Apple ein
• iOS-Schwachstellen: Schwere Vorwürfe an Apples Security-Team

(lbe)