"Das Haus gewinnt immer": Erneut Kritik an Apples Bug-Bounty-Programm
Zu geringe Erlöse, zu komplexes Verfahren: Whitehat-Hacker und Sicherheitsexperten sind unzufrieden mit Apples bezahlter Sicherheitslückensuche.
(Bild: Tero Vesalainen / Shutterstock.com)
Apple sieht sich erneut mit scharfer Kritik an seinem Bug-Bounty-Programm konfrontiert, mit dem der Konzern seine Geräte und Betriebssysteme eigentlich sicher halten möchte. Eine Gruppe bekannter IT-Security-Experten sieht nach wie vor große Probleme bei dem öffentlichen Fehlersuchvorhaben, das vor mittlerweile fünf Jahren von Apple aufgelegt wurde. Die Sicherheitsprofis beklagen gegenüber der Washingon Post unter anderem zu wenig Kommunikation, lange Verzögerungen durch Apple sowie ein zu komplexes und verwirrendes System, was denn nun wie viel bei den entdeckten Lücken einbringt.
Apple kommuniziert zu wenig – auch mit Forschern
Katie Moussouris, Gründerin der Sicherheitsfirma Luta Security, die selbst dem US-Verteidigungsministerium geholfen hatte, ein eigenes Bug-Bounty-Programm aufzubauen, brachte es so auf den Punkt: "Das ist ein [Programm], bei dem das Haus immer gewinnt." Apple habe "eine schlechte Repuation in der Sicherheitsindustrie", was wiederum dazu führen werde, dass die Produkte "weniger sicher für die Kunden" seien und sich dadurch auch die Kosten erhöhten.
Tatsächlich hatte Apple in letzter Zeit gleich an mehreren Fronten auch gegenüber der Kundschaft versagt. So ist immer noch unklar, ob alle von der problematischen Spyware Pegasus ausgenutzten Lücken gefixt sind – Apple weigert sich standhaft, hier Angaben zu machen. Zudem plant der Konzern einen höchst umstrittenen Kindesmissbrauch-Scanner direkt auf iPhones und iPads, was explizite Datenschutzversprechen gebrochen hätte.
Die Bug-Bounty-Probleme, die gegenüber der Washington Post von mehr als zwei Dutzend Sicherheitsforschern bestätigt wurden, betreffen unter anderem die Arbeit an den gemeldeten Bugs. Diese würden langsam gefixt und es komme immer wieder vor, dass die eigentlich kommunizierten Bounty-Summen nicht ausgezahlt wurden. Das zeigt sich schon anhand der gesamten Auszahlungssummen, meinen die Whitehat-Hacker. So gingen 2020 aus Apples Kasse nur 3,7 Millionen US-Dollar an Bounties heraus, Google erreichte 6,7 und Microsoft 13,6 Millionen Dollar. Natürlich hängt dies auch mit dem Umfang der Sicherheitslücken zusammen, doch betreibt Apple eine enorm große Plattform mit zum Beispiel über einer Milliarde iPhones im Markt. Apple kommuniziert sein Bug-Bounty-Programm zudem zurückhaltend. Google erwähnt Forscher oft lobend, Apple nennt sie nur kurz in den Credits seiner Updates.
Massives Backlog bei Bugs?
Zudem soll es angeblich ein "massives Backlog" an gemeldeten Bugs geben, wie Insider berichten. Insgesamt fehle es an Offenheit seitens Apple. Ivan Krstic, einer der wichtigsten Sicherheitsmanager des Konzerns, kommentierte, das Programm sei "ein Erfolg" und Apple habe 2020 die doppelte Geldmenge als noch 2019 ausgezahlt.
Man sei aber immer noch dabei das Programm "hochzuskalieren". Es solle künftig "neue Rewards für Forscher" geben, um die Teilnahme auszudehnen. Man suche ständig nach neuen Wegen, bessere Forschungswerkzeuge bereitzustellen, "die zu unserem rigorosen, industrieführenden Sicherheitsmodell passen". Apple vergibt mittlerweile gerootete iPhones an ausgewählte Forscher. Künftig soll es noch einfacher werden, Lücken zu melden, so der Konzern. Apple soll außerdem einen neuen Chef für das Bug-Bounty-Programm angestellt haben.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)