Apple Security Bounty: Bis zu 1,5 Millionen US-Dollar für sachdienliche Hinweise
Apple hat ein Security-Bounty-Programm für jedermann gestartet und belohnt Hinweise zu Schwachstellen in den eigenen Betriebssystemen bis hin zur iCloud großzügig. Bis zu 1,5 Millionen US-Dollar ist dem Unternehmen aus Cupertino die Unterstützung wert – jeder Hinweis auf einen kritischen Bug soll vergütet werden.
Um für eine Auszahlung in Frage zu kommen, muss die entsprechende Sicherheitslücke dem Unternehmen unbekannt und ausführlich dokumentiert sein, zudem muss die gemeldete Schwachstelle anhand eines funktionierenden Exploits demonstriert werden können. Für das „Apple Security Bounty“ sind iOS, iPadOS, macOS, tvOS und watchOS als Betriebssystem sowie die iCloud vorgesehen.
Zusätzlich zur Höchstsumme von einer Millionen Euro – die Apple für Hinweise auf Sicherheitslücken zahlt, mit denen der Angreifer ein Gerät aus der neuesten iPhone-Generation ohne Interaktion des Nutzers komplett übernehmen kann – addiert sich eine Bonuszahlung von bis zu 50 Prozent, für Hinweise auf Schwachstellen in ausgewählten Beta-Versionen und erneut auftretende Sicherheitslücken, die zuvor bereits behoben wurden.
Bereits in der Vergangenheit hat es ein Apple Security Bounty Program gegeben, welches aber bislang einzig ausgewählten Sicherheitsexperten vorbehalten blieb und sich schnell als Flop herausstellte – die Resonanz blieb aus. Während Apple zu diesem Zeitpunkt maximal 200.000 US-Dollar für einen Exploit zahlte, boten Firmen wie Exodus Intelligence 500.000 US-Dollar für Hinweise auf Sicherheitslücken. Einen Umstand den Apple mit dem neuen Vergütungsmodell nun ändern möchte.
Auf der eigens für das Apple Security Bounty eingerichteten Website gibt das Unternehmen weiterführende Informationen und nennt unter anderem explizite Beispiele für die Auszahlung der Prämien.