Kritik an Apples Fehlerjagd-Programm: Verkauf an Hacking-Unternehmen und Behörden ist viel lukrativer
Große IT-Unternehmen wie Apple, Microsoft und Co. sehen sich der ständigen Gefahr von Hacker-Angriffen auf ihre Systeme ausgesetzt – daher sollen Sicherheitslücken möglichst schnell identifiziert und beseitigt werden. Sogenannte "Bug Bounty Programs" helfen dabei. Firmen setzen ein "Kopfgeld" auf gefundene Sicherheitslecks oder andere Softwarefehler aus und entlohnen die Person, die sie ausfindig macht und an das jeweilige Unternehmen meldet.
Apples Bug Bounty Program steht jedoch immer mehr in der Kritik. Sicherheitsforscher und Entwickler beklagen sich über langsame Reaktionen aus Cupertino, verzögerte (oder ganz ausbleibende) Zahlungen sowie fehlende Behebungen der gemeldeten Software-Schwachstellen.
Apples Bug Bounty nicht konsequent genugDie
Washington Post zitiert in ihrem dazugehörigen Bericht diverse Sicherheitsforscher, die Apples Bug Bounty Program mangelnde Konsequenz vorwerfen – insbesondere im Vergleich zu anderen diesbezüglichen Angeboten von Konkurrenten wie Microsoft oder Facebook. Die Liste der kritisierten Aspekte an Apples Bug Bounty ist lang.
Bug-Meldungen gehen an Behörden oder Hacking-Unternehmen statt an Apple Das Unternehmen kommuniziere beispielsweise nur unzureichend, welche gefundenen Sicherheitslücken finanzielle Belohnungen nach sich ziehen. Das führe zu einer nachlassenden Motivation seitens Entwicklern und Sicherheitsforschern, entsprechende Schwachstellen überhaupt an Apple weiterzutragen. Stattdessen gehen die gefundenen Sicherheitslecks oft an Behörden oder andere Unternehmen, die ihr Geld mit dem "Hacking" von Software beziehungsweise Geräten verdienen – was eine große Gefahr für Datenschutz und Privatsphäre darstelle.
Kritischer Erfahrungsbericht eines EntwicklersiOS-Entwickler Tian Zhang berichtet von mehreren negativen Erfahrungen mit Apples Bug Bounty. 2017 habe er eine Sicherheitslücke an das Unternehmen gemeldet, jedoch monatelang keine Antwort erhalten. Schlussendlich veröffentlichte er einen Blog-Artikel bezüglich des Bugs. Bei einem weiteren, an Apple weitergeleiteten Sicherheitsleck behob Apple das Problem zwar, gab Zhang jedoch kein Feedback. Bei einem dritten gemeldeten Bug (der laut Zhang für ein Preisgeld qualifiziert war) verweigerte Apple die Auszahlung.
Apple kündigt Verbesserungen anDas Unternehmen aus Cupertino bezahlte 2020 rund 3,7 Millionen US-Dollar an Preisgeldern im Rahmen des Bug Bounty Program. Zum Vergleich: Google überwies im gleichen Zeitraum 6,7 Millionen US-Dollar, Microsoft 13,6 Millionen. Apple bezeichnet die hauseigene Bug Bounty dennoch als Erfolg. 2020 sei doppelt so viel ausgezahlt worden wie im Jahr davor. Gleichzeitig kündigte Apple Verbesserungen an, darunter weitere Preisgelder und bessere Tools zum Aufspüren von Sicherheitslecks.