Aufspüren von Softwarelücken :Apple erhöht Prämie auf eine Million Dollar

Einstellen Kommentar Drucken

Apple bietet schon seit langem ein Bug-Bounty-Programm an, welches Sicherheitsforschern, die einen Bug oder Exploit in der Apple-Software finden, eine Belohnung verspricht. Apple gibt die Belohnungen künftig auch nicht nur für Lücken im iPhone-System iOS, sondern auch bei Software anderer Apple-Geräte.

Für Schwachstellen, die in Vorabversionen neuer Betriebssysteme gefunden werden, legt Apple noch einmal 50 Prozent drauf, wie der zuständige Manager Ivan Krstic in der Nacht zum Freitag auf der IT-Sicherheitskonferenz Black Hat in Las Vegas ankündigte.

Ein entsprechender Ausbau des Bug Bounty-Programms soll dafür sorgen, dass dieses weiterhin mit jenen mithalten kann, die Exploits lieber für staatliche Überwachung oder kriminelle Zwecke einkaufen wollen.

Zudem sollen die Experten ab dem nächsten Jahr für ihre Arbeit speziell vorbereitete iPhones mit freierem Zugang zum System erhalten können. Auf dem Schwarzmarkt hingegen wurden für iPhone-Schwachstellen teils Millionen geboten.

Der Begriff Zero-Day spielt darauf an, dass die betroffenen Hersteller und Administratoren im Fall eines Angriffs null Tage Zeit haben, Abwehrmaßnahmen zu entwickeln und zu verteilen. So gibt es etwa Prämien von bis zu 100.000 Dollar, wenn man es durch den Sperrbildschirm schafft oder einen Weg findet, über eine präparierte App an wertvolle Nutzer-Daten heranzukommen. Bis zu 500.000 Dollar lässt sich der Konzern den Hinweis auf Sicherheitslücken kosten, durch die ein Angreifer über das Netz an Nutzerinformationen kommen kann.

Während Apples Security-Team bislang ausschließlich Sicherheitslücken vergütete, wenn diese im mobilen iOS-Betriebssystem ausgemacht wurden, sind zukünftig sicherheitsrelevante Fehlersichtungen auf allen Apple-Plattformen (also auch macOS, watchOS und tvOS) für einen Geldpreis qualifiziert. Der Konzern betreibt dafür einen hohen Aufwand unter anderem mit einem separaten Datentresor im Prozessor. Auch das FBI kam seinerzeit nach eigenen Angaben mit der Hilfe eines solchen Dienstleisters ans Ziel.

Comments