Apple Plays holt die lukrativen Bug Bounties ein
Apple öffnet sein Bug-Bounty-Programm für alle Sicherheitsforscher und erweitert die Systeme, für die sie gemeldet werden können. Und hoo Kumpel, Apple ist bereit, ihnen dafür auch ein ziemlich bedeutendes Stückchen an Veränderung zu geben.
Apples Chef der Sicherheit für Technik und Architektur Ivan Krstić twitterte die Neuigkeiten am Donnerstag (der Schritt wurde bereits bei Black Hat dieses Jahr angekündigt). In einer Mitteilung auf seiner Entwickler-Website weist Apple auf das Security Bounty Programm für iOS, iPadOS, macOS, tvOS oder watchOS hin. Wie CPORT anmerkte, war Apples Kopfgeldprogramm bisher nur auf Einladung erhältlich und wurde nur auf Sicherheitsprobleme mit iOS ausgedehnt.
Um berechtigt zu sein, muss die Person die erste Person sein, die den Fehler der Apple Produktsicherheit meldet; sie muss einen Bericht mit einem funktionierenden Exploit abgeben (Apple sagt, dass es ohne einen solchen nur bis zu 50 Prozent der Prämie zahlt); und sie muss das Problem unter Verschluss halten, bis Apple eine offizielle Sicherheitsberatung macht. Dafür werden sie großzügig bezahlt.
Die maximale Auszahlung kann zwischen 100.000 Dollar für die Erkennung von Bildschirmsperren und unbefugtem Zugriff auf iCloud Daten auf den Servern des Unternehmens bis hin zu Hunderttausenden von Dollar und bis zu 1 Million Dollar für verschiedene Ein-Klick- und Null-Klick-Szenarien liegen. Laut Apple gibt es eine Mindestauszahlung von 5.000 Dollar in den verschiedenen Kategorien. Und sicher, Apple könnte hier aufholen. Aber das ist eine Menge Geld, selbst für die Standards anderer Kopfgeldprogramme.
Die höchste Auszahlung, die auf Microsofts Bug-Bounty-Seite aufgelistet ist, ist beispielsweise eine $300.000-Auszeichnung für das Auffinden einer Schwachstelle im Zusammenhang mit seinem Cloud-Service Azure, und Microsoft zahlt einen Bruchteil dessen, was Apple für einen Null-Klick tut. Google bietet jedoch bis zu 1 Million Dollar für die Identifizierung einer Schwachstelle im Zusammenhang mit dem Pixel Titan M an und entspricht Apples 100.000 Dollar Belohnung für die Umgehung der Bildschirmsperre.
Apples Bug-Bounty-Programm ist seit geraumer Zeit ein Schmerzpunkt für Sicherheitsforscher. Ein Sicherheitsforscher, der zum Beispiel Anfang des Jahres einen MacOS Keychain Exploit entdeckt hat, der sich in einer Art öffentlichem Disput mit dem Unternehmen befand, ist ein eklatanter Mangel an einem Kopfgeldprogramm für Systeme außerhalb von iOS. Das Unternehmen wurde in der Vergangenheit auch wegen der niedrigen Auszahlungen für wertvolle Bugs kritisiert – obwohl die Auszahlungen inzwischen gestiegen sind.
Die Messlatte ist jedoch „ziemlich hoch gesetzt, was die Ergebnisse betrifft“, sagte Jamfs Hauptforscher für Sicherheit, Patrick Wardle, gegenüber CPORT. Also, wenn das Ihr „Werde schnell reich“-Plan war, nun, viel Glück.