Apple zu geizig: Sicherheitslücken melden lohnt sich nicht
Für den Nutzer ist es schlicht ärgerlich, wenn offenkundige Fehler auftreten und das Programm bzw. das System nicht so funktioniert wie es soll. Bei Sicherheitslücken gestaltet sich die Situation noch ernster, denn dann sind möglicherweise Nutzerdaten ernsthaft in Gefahr. Des einen Leid und des anderen Freud': Viele Sicherheitsexperten verfolgen nämlich das Geschäftsmodell, gezielt auf die Suche nach Sicherheitslücken zu gehen und diese dann zu verkaufen. Dankbare Abnehmer sind dabei sowohl dunkle Kanäle als auch die Hersteller selber, denn die meisten großen Anbieter belohnen Hacker für gefundene Lecks. Dies ermöglicht, die Verbreitung eines Exploits frühzeitig zu unterbinden und Lücken sofort schließen zu können. Oft unterstützen namhafte Hersteller daher Hackerwettbewerbe und loben hohe Preise aus, wenn es Hackern gelingt, erfolgreich in das System einzubrechen.
Apples Bug BountySeit vergangenem Jahr ist Apple erstmals auch mit von der Partie und belohnt Hacker. 200.000 Dollar gibt es beispielsweise, wenn ein Angreifer in Apples Secure Boot Firmware eindringt. Daten aus der Secure Enclave zu entführen bringen dem Hacker immerhin noch 100.000 Dollar. Eingeschleusten Code im Kernel auszuführen sowie unautorisierter Zugriff auf iCloud-Daten sind Apple 50.000 Dollar wert, die Umgehung der Sandbox noch 25.000 Dollar.
Gut gemeint, schlecht gemachtAllerdings gibt es diverse Dinge, die Apples Programm nicht funktionieren lassen. Beispielsweise sucht Apple die Hacker aus und nicht jeder darf einfach am "Security Bounty Programm" teilnehmen. Apples Wahl fällt fast nur auf solche Forscher, mit denen schon lange kooperiert wird. Noch schwerwiegender sind hingegen die niedrigen finanziellen Anreize, bei denen sich Apple übermäßig geizig zeigt. Einem
Bericht zufolge herrscht in der Szene die Ansicht, iOS-Lücken seien viel zu wertvoll um sie für so niedrige Beträge an Apple zu melden. Zum Vergleich: Was bei Apple 200.000 Dollar einbringt, sind beim namhaften Sicherheitsunternehmen Zerodium 1,5 Millionen Dollar. Man muss daher schon sehr idealistisch veranlagt sein, sich in diesem Fall direkt an Apple zu wenden - zumal es nicht einmal sicher wäre, von Apple auch bezahlt zu werden. In der offiziellen Beschreibung heißt es nämlich, Apple "erwägt" eine Zahlung in der genannten Höhe.
Bugs an Apple melden gefährdet die Geschäftsgrundlage der HackerNoch ein weiterer Aspekt ist nicht zu vernachlässigen. Die generelle Sicherheit von iOS liegt inzwischen auf derart hohem Niveau, dass nicht ein einziger Bug ausreicht, um sich in die Systemtiefen vorzuarbeiten. Stattdessen muss eine ganze Reihe an Konstellationen ausgenutzt werden. Meldet man Apple einen Bug, so wird dieser schnell beseitigt - und damit auch die weitere Angriffsfläche. Viel lukrativer bleibt hingegen, einem privaten Anbieter das gesamte Szenario zu verkaufen und damit zehn- oder zwanzigmal mehr als von Apple zu erhalten. Wer auf Bezahlung aus ist, wäre daher niemals so dumm, die Behebung der Bugs voranzutreiben, wie es ein bekannter Jailbreaker plakativ in Worte fasst.