Apple zahlt für Sicherheitslücken bis zu 1,5 Millionen US-Dollar

Apples Bug-Bounty-Programm steht nun jedem offen und berücksichtigt Schwachstellen in allen eigenen Betriebssystemen bis hin zu iCloud.

In Pocket speichern vorlesen Druckansicht 22 Kommentare lesen
Apple zahlt für Sicherheitslücken bis zu 1,5 Millionen US-Dollar

(Bild: Shutterstock.com / weedezign)

Lesezeit: 3 Min.
Von
  • Leo Becker

Die "Apple Security Bounty" ist offiziell gestartet: Der Konzern akzeptiert ab sofort Hinweise auf Sicherheitslücken durch die Allgemeinheit und will dafür – nach Prüfung und je nach Schwere – bis zu 1 Million US-Dollar auszahlen. Ab jetzt verspricht Apple, für jegliche signifikante Schwachstellen in allen eigenen Betriebssystemen iOS, iPadOS, macOS, tvOS, watchOS sowie iCloud zu zahlen und teils auch für Lücken in bestimmten Beta-Versionen.

Für eine Umgehung des Sperrbildschirms mit physischem Zugriff auf das Gerät will Apple beispielsweise bis zu 100.000 US-Dollar zahlen, kann man dabei Nutzerdaten "extrahieren" sollen es bis zu 250.000 Dollar werden. Zudem zahlt das Unternehmen unter anderem für mögliche Angriffe über eine vom Nutzer installierte App sowie Angriffe über Netzwerke, wie es auf einer neu eingerichteten Seite heißt. Um die Höchstsumme von 1.000.000 US-Dollar zu erhalten, muss ein entfernter Angreifer in der Lage sein, ein Gerät aus der jeweils neuesten iPhone-Generation komplett zu übernehmen – ohne jegliche Nutzerinteraktion.

Apples neues Bug-Bounty-Programm gilt für alle eigenen Plattformen und steht nun jedem offen.

(Bild: Screenshot Apple-Webseite)


Um für eine Auszahlung berücksichtigt zu werden, muss der Bug dem Konzern unbekannt sein und die Lücke im Detail beschrieben sowie anhand eines funktionierenden Exploits demonstriert werden, wie Apple erklärt. Dem Einreichenden ist es außerdem untersagt, die Schwachstelle öffentlich zu machen, bevor Apple diese gepatcht hat. Für schwere Lücken in ausgewählten Betas und erneute Bugs, die zuvor bereits beseitigt worden waren, will Apple eine Bonuszahlung von bis zu 50 Prozent ausschütten. Wird die Bounty an bestimmte Einrichtungen gespendet, will Apple den Betrag verdoppeln.

Apples Bug-Bounty-Programm war bislang auf iOS beschränkt und nur auf Einladung hin zugänglich, eine Einschränkung, die mehrfach scharf kritisiert wurde. Sicherheitsforscher veröffentlichten teils Zero-Day-Exploits für macOS oder weigerten sich vorübergehend, schwere Mac-Lücken gratis an Apple zu melden, um auf den Missstand aufmerksam zu machen. Ein Google-Sicherheitsforscher, der zahlreiche schwere Bugs an Apple meldete aber nie in das Programm aufgenommen wurde, forderte im vergangenen Jahr einen Millionenbetrag ein, den er spenden wollte.

Der Konzern machte mitunter bereits Ausnahmen, etwa für einen schweren FaceTime-Bug, mit dem sich Mikrofone von iPhones, iPads und Macs für kurze Zeit aus der Ferne aktivieren ließen. Ein Teenager war bei einer Partie Fortnite darüber gestolpert, die Familie hatte dann offenbar über einen Zeitraum von mehr als einer Woche versucht, den Konzern auf die Lücke aufmerksam zu machen – ohne Erfolg. Apple reagierte erst mit einer Notfallabschaltung des Dienstes, nachdem der Bug durch ein Twitter-Video von Dritten ein Millionenpublikum fand. Der Jugendliche erhielt im Anschluss eine Auszahlung in ungenannter Höhe.

(lbe)