Sicherheitslücken: Apples Bug Bounty ist ein Flop
Apples im September 2016 gestartetes Bug-Bounty-Programm stößt einem Bericht zufolge auf wenig Resonanz. Der Hauptgrund für das geringe Interesse seien die vergleichsweise niedrigen Honorare, die Apple für gefundene Sicherheitslücken zahlt. Auf dem Schwarzmarkt lassen sich Experten zufolge weit höhere Beträge erzielen.
Mehr Geld auf dem Grau- und Schwarzmarkt
Apples Bug-Bounty-Initiative scheint bislang kaum Anklang gefunden zu haben. Motherboard VICE zitiert mehrere Sicherheitsexperten, die über die Gründe für den ausbleibenden Erfolg sprechen. „Leute können mehr verdienen, wenn sie gefundene Lücken an jemand anderes als Apple verkaufen,“ so der für das Unternehmen Zimperium arbeitende Sicherheitsforscher Nikias Bassen. Wer nur für Geld nach Schwachstellen suche, leite die Funde nicht an Apple weiter.
Während der iPhone-Konzern bis zu 200.000 US-Dollar für Berichte über Lecks zahlt, bieten Firmen wie Exodus Intelligence 500.000 US-Dollar für iOS-Exploits. Der Wert eines Bündels an Sicherheitslücken, das den Jailbreak eines iPhones ermöglicht, wird mit etwa 1,5 Millionen US-Dollar taxiert.
Zudem ist es laut Cybersecurity-Forscher Dan Guido unwahrscheinlich, in einem durch Sandboxing und andere Mechanismen vergleichsweise stark geschützten System wie iOS eine 200.000-Dollar-Lücke zu finden. Viele Bug Hunter würden sich gar nicht erst an die langwierige und potenziell ergebnislose Fehlersuche begeben.
Meldungen kleinerer Schwachstellen unrentabel
Die Meldung geringerwertiger Sicherheitslecks, für die Apple kaum mehr als einige tausend US-Dollar veranschlagt, rechnet sich in der Regel nicht. Statt die entsprechenden Fehler an den Konzern weiterzuleiten, nutzen Sicherheitsforscher die kleinen Lücken lieber dazu, größere und lukrativere Schwachstellen aufzuspüren.
Apple als Nachzügler im Bug-Bounty-Sektor
Apples Sicherheitschef Ivan Krstic kündigte das Belohnungssystem für den Fund von Sicherheitsschwachstellen in iOS und macOS im August 2016 an. Apple ist ein Spätstarter im Sektor der Bug-Bounty-Prämien, da andere IT-Riesen wie Google, Microsoft und Facebook externen Tippgebern bereits seit Jahren Belohnungen für gefundene Lücken zahlen.
Schnell kam Kritik an Apples Invite-Only-System auf. Der iPhone-Konzern öffnete das Bug-Bounty-Programm zunächst nur für Sicherheitsexperten, die zuvor schon wichtige Beiträge zum Thema Sicherheit geleistet haben. Laut Apple ist es ineffizient, jeden Interessenten zuzulassen, da die kritischsten Lecks in der Masse der Meldungen untergehen könnten.
Für gemeldete Lücken in einzelnen Sandbox-Prozessen gibt es bis zu 25.000 US-Dollar. Schwachstellen in der Secure Boot Firmware sind Apple bis zu 200.000 US-Dollar wert.