Apple legt neues Fehlerjagd-Programm auf: Bis zu einer Million Belohnung, macOS Teil des Programms
Auf der Black Hat Sicherheitskonferenz in Las Vegas hat Apple bekannt gegeben, endlich ein echtes Programm aufzulegen, um Hacker für die Suche nach Sicherheitslücken zu entlohnen. Im August 2016 startete Apple ein erstes Bug Bounty Program, welches allerdings
viel zu kurz griff: Nur Sicherheitsmängel in iOS waren von diesem Programm abgedeckt und die Entlohnung von 200.000 Dollar pro gefundenem Fehler war gemessen an den branchenüblichen Vergütungen viel zu gering. Finanziell gesehen lohnte es sich bei diesem Betrag für Hacker eher, gefundene Sicherheitslücken auf dem Schwarzmarkt feilzubieten, statt diese an Apple zu melden.
Bis zu 1.000.000 DollarApple hat nun das Sicherheitsprogramm deutlich erweitert: Nicht nur Sicherheitsprobleme in iOS, sondern auch in macOS, tvOS, watchOS und bei iCloud führen nun zu einer Belohnung für Hacker. Außerdem hebt Apple die maximale Vergütung deutlich an: Statt 200.000 Dollar sind nun eine Million Dollar möglich. Findet ein Hacker in einer Vorabversion Sicherheitsfehler, gibt es noch 50 Prozent Bonus.
Vergütung gestaffeltDie Vergütung richtet sich aber stark nach der Art des Fehlers: Ein Überwinden des Sperrbildschirms auf iOS-Geräten mit physischen Zugriff auf das Gerät ist Apple 100.000 Dollar wert. Schafft man es, Code mit Kernel-Privilegien aus einer vom Nutzer installierten App auszuführen, bekommt man 150.000 Dollar. Den maximalen Betrag von einer Million zahlt Apple, wenn ein Hacker über ein Netzwerk Code auf einem Gerät mit Kernel-Privilegien ausführen kann – ohne Nutzerinteraktion.
Nur 100.000 Dollar für iCloud-HackEtwas verwunderlich ist, dass Apple nur 100.000 Dollar bezahlt, wenn es einem Hacker gelingt, unautorisierten Zugriff auf iCloud-Server zu erlangen – eigentlich müsste dies Apple deutlich mehr wert sein, wenn man bedenkt, dass man über solche Sicherheitslücken wahrscheinlich sensible Kundendaten auslesen oder abfangen kann.
Spezielle iOS-Versionen für SicherheitsforscherSchon vor einer Woche wurde bekannt, dass Apple plant,
spezielle iOS-Versionen für Sicherheitsforscher bereitzustellen. Auf der Black-Hat-Konferenz bestätigte Apple nun dieses Programm. Bekannte Sicherheitsforscher, welche sich durch das Auffinden von Sicherheitslücken einen Namen gemacht haben, erhalten nun spezielle iPhone-Modelle mit einer Sonderversion von iOS, welche über einen SSH-Zugang, eine Shell wie auch über ausgeweitete Debug-Möglichkeiten verfügen. Das Programm soll im kommenden Jahr starten.