Schwere FaceTime-Lücke: Apple will wohl Bug Bounty zahlen – als Ausnahme
Ein Teenager, der einen dicken Lausch-Bug in Apples Kommunikationssoftware entdeckt hat, soll dafür Geld sehen, obwohl er nicht als Fehlerjäger registriert ist.
Eigentlich sind Apples Regeln für das hauseigene Bug-Bounty-Programm glasklar: Nur zuvor registrierte Sicherheitsforscher können bestimmte Lücken in iOS für den Konzern auffinden und dafür bis zu 200.000 US-Dollar erhalten.
Nun will Apple offenbar eine Ausnahme machen: Für einen Teenager aus Arizona, der einen schwerwiegenden Bug in Apples Kommunikationswerkzeug FaceTime gefunden hatte. Dies berichtet die Mutter des 14jährigen, der den Bug im Januar fand.
Zeigt sich Apple gnädig?
Laut den Angaben von Michele Thompson gegenüber dem US-Börsensender CNBC kam bereits ein "hochrangiger Apple-Manager" nach Tucson geflogen, um ihren Sohn zu treffen. "Der hat uns persönlich gedankt und nach unserem Feedback gefragt, wie man den Meldeprozess verbessert könnte." Tatsächlich hatte der Mutter Thompson den Bug bereits vor mehreren Wochen an Apple gemeldet, es tat sich jedoch erst etwas, nachdem Medien über den Fehler berichteten. Er erlaubte es, das Mikrofon von iPhones, iPads und Macs aus der Ferne temporär ohne Einverständnis des Users zu aktivieren – und unter Umständen sogar die Videokamera. Grund war ein Problem in Apples neuer Gruppenchat-Funktion (Group FaceTime).
Laut Thompson teilte der ungenannte Apple-Manager der Familie mit, Grant könne "für das Bug-Bounty-Programm berechtigt" sein. Die Mutter sagte, sie hoffe, dass dies passiere. "Wir hätten dafür sicher eine gute Verwendung, für sein College." Den 14jährigen interessiere das Feld (der Fehlerjagd) sowieso schon. Apple-Produkte will der Junge übrigens weiterverwenden. Manchmal fielen Probleme eben "durch den Rost" und könnten aufgefunden werden. Er glaube, Apple wolle die Privatsphäre seiner Nutzer schützen.
Kein Bounty für macOS – immer noch
Das Thema Bug-Bounty-Programm bei Apple ist für professionelle Sicherheitsforscher immer wieder Anlass zur Kritik. So ist es schwer, offiziell registrierter Teilnehmer zu werden – Apple ist hier weniger offen als die Konkurrenz. Zudem sucht sich der Konzern nur bestimmte Fehlerbereiche aus, die "geldfähig" sind. macOS ist nach wie vor nicht vom Bug-Bounty-Programm abgedeckt, was den IT-Security-Experten Patrick Wardle bereits motivierte, Schwachstellen publizieren zu wollen, bevor Apple sie fixt.
Der junge deutsche Sicherheitsforscher Linus Henze hatte sich zuletzt gar dazu entschieden, einen kritischen Keychain-Bug für sich zu behalten, der das Auslesen von Passwörtern noch bis macOS Mojave erlaubt – er begründete dies explizit mit Apples fehlendem Bug-Bounty-Programm für das Mac-Betriebssystem. (bsc)