Apple: Bis zu 200.000 US-Dollar für gemeldete Sicherheitslücken
Apple geht auf der Jagd nach Sicherheitslücken einen für den Konzern neuen Weg. Erstmals stellt der iPhone-Hersteller öffentlich eine Belohnung für gefundene Schwachstellen in der hauseigenen Software in Aussicht. Wer eine entsprechende Lücke findet und an Apple meldet, kann mit einer Prämie von bis zu 200.000 US-Dollar rechnen.
Für gemeldete Lücken winken bis zu 200.000 US-Dollar
Apples Sicherheitschef Ivan Krstic präsentierte das Security Bounty Program auf der Black Hat Cybersecurity Conference in Las Vegas. Konkret geht es um fünf Bereiche von Apples Software- und Server-Architektur, für die der Konzern Belohnungen ausruft. Wer es schafft, aus einem Sandbox-Prozess heraus auf Nutzerdaten außerhalb der Sandbox zuzugreifen und das an Apple meldet, hat die Aussicht auf bis zu 25.000 US-Dollar.
Der Zugriff auf die Daten eines iCloud-Accounts ist Apple bis zu 50.000 US-Dollar wert. Wenn ein Hacker es schafft, schädlichen Code mit Kernel-Privilegien auszuführen, erhält ebenfalls bis zu 50.000 US-Dollar. 100.000 US-Dollar gibt es, wenn es gelingt, vertrauliche Inhalte aus der Secure Enclave zu beschaffen. Die Top-Prämie von bis zu 200.000 US-Dollar zahlt Apple für gemeldete Schwachstellen in der Secure Boot Firmware.
Apple bestimmt, wer Fehler melden darf
Nicht jeder kann an Apples Security Bounty Program, das im September startet, teilnehmen. Der Konzern öffnet die Aktion nur für Sicherheitsexperten, die in der Vergangenheit bereits „wertvolle“ Beiträge dazu geleistet haben, Apple-Sicherheitslücken aufzuspüren. Apple habe sich mit anderen Unternehmen, die ähnliche Programme anbieten, beraten. Die Erkenntnis der Gespräche sei gewesen, dass eine Öffnung für die gesamte Öffentlichkeit kontraproduktiv sei, da Hochrisiko-Lücken in der zu erwartenden Masse an Meldungen untergehen könnten.
Apple wird Sicherheitsexperten, die bisher noch nicht mit dem Konzern zusammengearbeitet haben, aber nicht per se abweisen, solange sie nützliche Informationen hinsichtlich Software-Schwachstellen vorweisen. „Das Bounty Program ist nicht als exklusiver Club gedacht“, so Krstic. Nach dem Start soll es nach und nach ausgeweitet werden.
Nächster Schritt in Apples Sicherheitsoffensive
Nach Apples Auseinandersetzung mit dem FBI und der Absicht, mehr Ressourcen in die Verschlüsselung von iPhones und die Absicherung des Online-Dienstes iCloud zu investieren, ist das Security Bounty Program der nächste Schritt auf Apples Weg, die eigenen Systeme besser zu schützen.
Konkurrenz bietet Bug-Bounty-Programme schon seit Jahren
Hinsichtlich Bug-Bounty-Programmen nimmt Apple in der IT-Branche die Rolle des Nachzüglers ein. Während sich der Konzern bislang vorwiegend selbst um Sicherheitsbelange kümmerte und externen Tippgebern keine Prämien zahlte, rufen Konkurrenten wie Microsoft, Google, Yahoo und Facebook schon seit Jahren öffentlich lukrative Belohnungen für gefundene Systemschwachstellen aus.
Facebook hat laut eigenen Angaben seit 2011 über 4,3 Millionen US-Dollar an mehr als 800 Experten ausbezahlt, die das Social Network auf Lücken hinwiesen. Google überwies im letzten Jahr 550.000 US-Dollar für gefundene Schwachstellen in Android.