Prämienprogramm: Apple entlohnt erstmals Entdecker von Sicherheitslücken

Apple hat auf der Konferenz Black Hat USA in Las Vegas erstmals ein Sicherheitsprämienprogramm gestartet. Bei Apple registrierte Sicherheitsforscher erhalten künftig bis zu 200.000 Dollar fürs Melden einer Schwachstelle, abhängig vom Schweregrad.

Die maximale Summe fällt für Schwachstellen an, die Bestandteile der Secure-Boot-Firmware eines Apple-Produkts betreffen und damit den Schutz der Plattform insgesamt gefährden würden. Solche Lücken sind auch für Jailbreaks nützlich. Methoden, um der Secure Enclave (also dem Sicherheitsbereich für persönliche Informationen) Daten zu entnehmen, Code zu extrahieren, einer Prozesse isolierenden Sandbox zu entkommen oder für nicht autorisierten iCloud-Zugriff werden mit geringeren Summen entlohnt.

Die Vorstellung übernahm Sicherheitschef Ivan Krstic. Er erklärte auch, das Programm sei trotz eingeschränkter Registrierungsmöglichkeiten „in keiner Weise als exklusiver Club gedacht.“

Zum Start im September wird es dennoch nur einige Dutzend bekannte Sicherheitsforscher umfassen. Auch kann man sich nicht dafür bewerben, sondern muss von Apple zur Teilnahme eingeladen werden. Meldungen von Sicherheitslücken nicht registrierter Forscher erwägt das Unternehmen trotzdem zu honorieren.

Apple erklärt, sich durch die ungewöhnliche Beschränkung vor Falschmeldungen schützen zu wollen. Zugleich könne man so sicherstellen, dass vertrauenswürdige Sicherheitsforscher die nötige Unterstützung bekämen.

Im IT-Bereich zählt Apple zu den letzten Firmen, die ein Prämienprogramm fürs Finden von Sicherheitslücken aufsetzen. Zwei Beispiele: Google zahlte im vergangenen Jahr 2 Millionen Dollar an Prämien aus – davon etwa 10 Prozent für Android-Lücken. Facebook hat seit 2011 rund 4,3 Millionen Dollar an etwa 800 Forscher ausgeschüttet. Die meisten Firmen nutzen für solche Programme die Plattform HackerOne, die neben der nötigen Infrastruktur auch über ein Renommeesystem für Forscher verfügt und sich zu einer zentralen Anlaufstelle für die Community entwickelt hat. Apple hingegen geht einen eigenen Weg.

Andernorts können Sicherheitsforscher wohl weiterhin mehr Geld mit Apple-Lücken verdienen. Die US-Bundespolizei FBI zahlte einem externen Dienstleister dieses Jahr eine Summe von fast einer Million Dollar für ein Verfahren, um die PIN-Sperre von Smartphones des Typs iPhone 5C zu umgehen. Auch Unternehmen, die mit Zero-Day-Lücken handeln, wie Zerodium oder Vupen, bieten Beträge in Millionenhöhe für grundlegende iOS-Lücken.

[mit Material von Laura Hautala, CNET.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.