Neue Website: Apple erleichtert Sicherheitsforschung
Ein zentrales neues Portal erklärt das Bug–Bounty-Programm und ermöglicht es, schneller und direkter mit dem Security-Team des Konzerns in Kontakt zu kommen.
(Bild: Screenshot Apple.com)
Apple will die Kommunikation mit Sicherheitsforschern verbessern. Dazu steht seit dieser Woche ein neues Portal unter der Überschrift Apple Security Research zur Verfügung, dass über die einprägsame URL security.apple.com erreichbar ist. "Unsere neue Apple-Security-Research-Website macht es Forschern leichter als je zuvor, Berichte über das Internet einzureichen, Echtzeit-Updates von Apples Ingenieuren zu erhalten und Anerkennung für Beiträge zur Verbesserung der Sicherheit für unsere Benutzer zu erhalten", so der Konzern. Tatsächlich hatte es zuvor an mancher Stelle im Kommunikationsprozess mit Forschern geknirscht.
Tracker fürs Bug-Bounty-Programm
Das neue Portal bietet unter anderem (hoffentlich) leichter verständliche Details zu Apples hauseigenem Bug-Bounty-Programm. Dieses bekommt nun außerdem einen "Tracker" verpasst, der die Fortschritte dokumentieren soll, die eine Einreichung Apple-intern erzielt hat. "Wenn wir ein bestimmtes Update haben oder weitere Informationen benötigen, erhalten Sie eine Benachrichtigung. Und wenn wir auf der Grundlage Ihres Berichts Änderungen an der Sicherheit unserer Geräte oder Dienste vornehmen, halten wir Sie über die Details auf dem Laufenden und lassen Sie selbst entscheiden, wie wir Ihre Arbeit würdigen sollen." Anonyme Credits für gefixte Bugs gibt es bei Apple auf Wunsch schon länger.
Insgesamt soll Apple schneller auf neu gemeldete Bugs reagieren. Durch die neue Website soll auch das Einreichen leichter werden. Der Konzern verspricht außerdem, besser und früher mit Sicherheitsforschern zu kommunizieren. Ferner will das Unternehmen für mehr Transparenz sorgen. "Unsere Website enthält jetzt detaillierte Informationen über Apple Security Bounty und die Bewertungskriterien." In den letzten zweieinhalb Jahren soll der Konzern rund 20 Millionen US-Dollar an Sicherheitsforscher ausgeschüttet haben. Im Produkt-Bereich liegen die Summen im Durchschnitt bei 40.000 Dollar, der Konzern hat aber auch schon über 100.000 Dollar für schwerwiegende Fehler entrichtet – bereits gut 20 Mal, wie er angibt.
Nächste Runde im Apple Security Research Device Program
Zusammen mit dem Start der neuen Website nimmt Apple auch wieder Anträge für sein Apple Security Research Device Program, das 2020 gestartet war. Hier können sich Forscher auf ein gerootetes iPhone bewerben, das sich nach Strich und Pfaden softwaretechnisch "zerlegen" lässt, um Bugs zu finden. Dazu muss man sich allerdings eines Evaluationsprozesses unterziehen. Aktuell ist dieser wieder geöffnet und nimmt bis zum 30. November Bewerbungen entgegen. Die Geräte sollen dann ab 2023 ausgegeben werden.
Zuvor waren die auch als Dev Devices bekannten Geräte höchstens auf eBay oder in zwielichtigen Kreisen aufgetaucht – mit veralteter Soft- und Hardware. Apples Ansatz seit Beginn des ASRDP liefert die Geräte nun direkt an die Forscher, die zudem offiziell Unterstützung von dem Konzern erhalten. Der Zugang der "exklusiv für die Sicherheitsforschung" gedachten Hardware ist auf Personen und Gruppen beschränkt, die Apple auswählt – die Kriterien entscheidet der Konzern.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
