/Apples Bug Bounty: “Wer mit Sicherheitslücken Geld verdient, meldet sie nicht an Apple”

Apples Bug Bounty: “Wer mit Sicherheitslücken Geld verdient, meldet sie nicht an Apple”

Apples Bug Bounty: “Wer mit Sicherheitslücken Geld verdient, meldet sie nicht an Apple”


Ben Schwan

Das iPhone gilt als schwer zu knacken – weshalb mancher Exploit-Händler für Bugs Millionen zahlt.

(Bild: dpa, Joel Carrett)

Bis zu 200.000 US-Dollar will Apple Experten zahlen, die schwere Lücken in seinen Betriebssystemen finden. Eine Befragung ergab nun, dass dies dem Vergleich mit Schwarzmarktpreisen nicht standhält.

Seit nicht ganz einem Jahr betreibt Apple ein eigenes Bug-Bounty-Programm: 200.000 US-Dollar bekommt dabei beispielsweise derjenige Sicherheitsforscher, der Bugs im Secure-Boot-Modus des iPhone findet, die einen Exploit ermöglichen. Insgesamt scheint Apples Bug-Bounty-Programm jedoch noch nicht besonders gut anzukommen, wie eine Befragung von Sicherheitsforschern durch das IT-Blog Motherboard nun ergab.

Millionen statt Hunderttausende

Neben den bekannten Apple-IT-Security-Experten Patrick Wardle (Synack) und Nikias Bassen (Zimperium) äußerten sich auch noch acht weitere Sicherheitsforschern ohne Namensnennung, die von Apple zu seinem Fehlerjägerprogramm eingeladen worden waren.

Wardle sagte offen, iOS-Bugs seien derzeit “zu wertvoll, um sie an Apple zu melden”. Bassen schlug in die selbe Kerbe: “Wer das für das Geld macht, gibt seine Bugs nicht direkt an Apple.” Zuvor hatten Exploit-Händler für schwerwiegende Lücken bereits Millionen-Beträge offeriert. Diese verkaufen ihre Erkenntnisse dann unter anderem an staatliche Hacker – für noch mehr Geld.

Programm ließ lange auf sich warten

Apple hatte 2016 eine ausgewählte Gruppe von Sicherheitsforschern eingeladen, darunter Wardle und den bekannten iPhone-Jailbreaker Luca Todesco. Bei dem Treffen wurden sie zum Bug-Bounty-Programm eingeladen, das zunächst nicht allen externen Sicherheitsforschern offenstehen sollte. Auch Apple-Softwarechef Craig Federighi kam und stellte sich vor. Zuvor hatte Apple kein eigenes Bug-Bounty-Programm gehabt, das bei anderen Unternehmen wie Google, Facebook oder Microsoft längst zum Standard gehört (siehe Mac & i Heft 5/2016 mit allen Hintergründen).

Aktuell können Forscher Beträge zwischen 25.000 und 200.000 Dollar erhalten, wenn sie Lücken in Apple-Produkten finden. Neben dem Hack der Secure-Boot-Firmware ist dies unter anderem das Knacken der Secure Enclave (100.000 Dollar), die Ausführung von beliebigem Kernel-Code (50.000 Dollar), das Knacken von iCloud-Account-Daten (50.000 Dollar) sowie das Laufenlassen von Prozessen außerhalb der Sandbox (25.000 Dollar). Apple soll intern lange am Bug-Bounty-Programm gewerkelt haben. Bei Apple sei man eben “perfektionistisch”, sagte ein ehemaliger Angestellter aus dem Sicherheitsbereich.


(bsc)