Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Apple zu geizig: Sicherheitslücken melden lohnt sich nicht

Für den Nutzer ist es schlicht ärgerlich, wenn offenkundige Fehler auftreten und das Programm bzw. das System nicht so funktioniert wie es soll. Bei Sicherheitslücken gestaltet sich die Situation noch ernster, denn dann sind möglicherweise Nutzerdaten ernsthaft in Gefahr. Des einen Leid und des anderen Freud': Viele Sicherheitsexperten verfolgen nämlich das Geschäftsmodell, gezielt auf die Suche nach Sicherheitslücken zu gehen und diese dann zu verkaufen. Dankbare Abnehmer sind dabei sowohl dunkle Kanäle als auch die Hersteller selber, denn die meisten großen Anbieter belohnen Hacker für gefundene Lecks. Dies ermöglicht, die Verbreitung eines Exploits frühzeitig zu unterbinden und Lücken sofort schließen zu können. Oft unterstützen namhafte Hersteller daher Hackerwettbewerbe und loben hohe Preise aus, wenn es Hackern gelingt, erfolgreich in das System einzubrechen.


Apples Bug Bounty
Seit vergangenem Jahr ist Apple erstmals auch mit von der Partie und belohnt Hacker. 200.000 Dollar gibt es beispielsweise, wenn ein Angreifer in Apples Secure Boot Firmware eindringt. Daten aus der Secure Enclave zu entführen bringen dem Hacker immerhin noch 100.000 Dollar. Eingeschleusten Code im Kernel auszuführen sowie unautorisierter Zugriff auf iCloud-Daten sind Apple 50.000 Dollar wert, die Umgehung der Sandbox noch 25.000 Dollar.

Gut gemeint, schlecht gemacht
Allerdings gibt es diverse Dinge, die Apples Programm nicht funktionieren lassen. Beispielsweise sucht Apple die Hacker aus und nicht jeder darf einfach am "Security Bounty Programm" teilnehmen. Apples Wahl fällt fast nur auf solche Forscher, mit denen schon lange kooperiert wird. Noch schwerwiegender sind hingegen die niedrigen finanziellen Anreize, bei denen sich Apple übermäßig geizig zeigt. Einem Bericht zufolge herrscht in der Szene die Ansicht, iOS-Lücken seien viel zu wertvoll um sie für so niedrige Beträge an Apple zu melden. Zum Vergleich: Was bei Apple 200.000 Dollar einbringt, sind beim namhaften Sicherheitsunternehmen Zerodium 1,5 Millionen Dollar. Man muss daher schon sehr idealistisch veranlagt sein, sich in diesem Fall direkt an Apple zu wenden - zumal es nicht einmal sicher wäre, von Apple auch bezahlt zu werden. In der offiziellen Beschreibung heißt es nämlich, Apple "erwägt" eine Zahlung in der genannten Höhe.

Bugs an Apple melden gefährdet die Geschäftsgrundlage der Hacker
Noch ein weiterer Aspekt ist nicht zu vernachlässigen. Die generelle Sicherheit von iOS liegt inzwischen auf derart hohem Niveau, dass nicht ein einziger Bug ausreicht, um sich in die Systemtiefen vorzuarbeiten. Stattdessen muss eine ganze Reihe an Konstellationen ausgenutzt werden. Meldet man Apple einen Bug, so wird dieser schnell beseitigt - und damit auch die weitere Angriffsfläche. Viel lukrativer bleibt hingegen, einem privaten Anbieter das gesamte Szenario zu verkaufen und damit zehn- oder zwanzigmal mehr als von Apple zu erhalten. Wer auf Bezahlung aus ist, wäre daher niemals so dumm, die Behebung der Bugs voranzutreiben, wie es ein bekannter Jailbreaker plakativ in Worte fasst.

Kommentare

elPadron07.07.17 09:31
und was macht das "namhafte Sicherheitsunternehmen Zerodium" mit der information, wenn es 1.5mio bezahlt hat? sich von anderen teuer für entsperrungen und entschlüsselungen bezahlen lassen? von geheimdiensten? von unternehmen die industriespionage betreiben? sauberes geschäft, das.
+7
Metty
Metty07.07.17 10:33
Eine einfache Frage der Prioritäten: bin ich Söldner oder verfüge ich noch über einen Rest von Moral und Anstand?
-3
CooperCologne07.07.17 10:47
"... die Umgehung der Sandbox noch 25.000 Daten."

Das soll wohl Dollar heißen.
+1
johnnybpunktone07.07.17 11:08
Metty
Eine einfache Frage der Prioritäten: bin ich Söldner oder verfüge ich noch über einen Rest von Moral und Anstand?

Die machen auch nichts anderes als das was jedes börsennotierte Unternehmen der Ansicht einiger hier machen MUSS: Profit maximieren.
Überhaupt nicht so einfach, oder?
+1
PaulMuadDib07.07.17 11:35
Ist die Frage, ob das wirklich was bringt, die Prämien zu erhöhen. Wenn Apple 2 Mio bietet, bietet die Firma einfach 2,5 Mio. Könnte mir vorstellen, daß sich daß dann trotzdem lohnen könnte …
+1
Mendel Kucharzeck
Mendel Kucharzeck07.07.17 12:36
CooperCologne
"... die Umgehung der Sandbox noch 25.000 Daten."

Das soll wohl Dollar heißen.

Nein, Daten ist richtig. Du bekommst dann halt 25k Datensätze von Apple - irgendwelche.

(Hab es korrigiert )
+6

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.