Categories: Sicherheit

Prämienprogramm: Apple entlohnt erstmals Entdecker von Sicherheitslücken

Apple hat auf der Konferenz Black Hat USA in Las Vegas erstmals ein Sicherheitsprämienprogramm gestartet. Bei Apple registrierte Sicherheitsforscher erhalten künftig bis zu 200.000 Dollar fürs Melden einer Schwachstelle, abhängig vom Schweregrad.

Die maximale Summe fällt für Schwachstellen an, die Bestandteile der Secure-Boot-Firmware eines Apple-Produkts betreffen und damit den Schutz der Plattform insgesamt gefährden würden. Solche Lücken sind auch für Jailbreaks nützlich. Methoden, um der Secure Enclave (also dem Sicherheitsbereich für persönliche Informationen) Daten zu entnehmen, Code zu extrahieren, einer Prozesse isolierenden Sandbox zu entkommen oder für nicht autorisierten iCloud-Zugriff werden mit geringeren Summen entlohnt.

Die Vorstellung übernahm Sicherheitschef Ivan Krstic. Er erklärte auch, das Programm sei trotz eingeschränkter Registrierungsmöglichkeiten „in keiner Weise als exklusiver Club gedacht.“

Zum Start im September wird es dennoch nur einige Dutzend bekannte Sicherheitsforscher umfassen. Auch kann man sich nicht dafür bewerben, sondern muss von Apple zur Teilnahme eingeladen werden. Meldungen von Sicherheitslücken nicht registrierter Forscher erwägt das Unternehmen trotzdem zu honorieren.

Apple erklärt, sich durch die ungewöhnliche Beschränkung vor Falschmeldungen schützen zu wollen. Zugleich könne man so sicherstellen, dass vertrauenswürdige Sicherheitsforscher die nötige Unterstützung bekämen.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Im IT-Bereich zählt Apple zu den letzten Firmen, die ein Prämienprogramm fürs Finden von Sicherheitslücken aufsetzen. Zwei Beispiele: Google zahlte im vergangenen Jahr 2 Millionen Dollar an Prämien aus – davon etwa 10 Prozent für Android-Lücken. Facebook hat seit 2011 rund 4,3 Millionen Dollar an etwa 800 Forscher ausgeschüttet. Die meisten Firmen nutzen für solche Programme die Plattform HackerOne, die neben der nötigen Infrastruktur auch über ein Renommeesystem für Forscher verfügt und sich zu einer zentralen Anlaufstelle für die Community entwickelt hat. Apple hingegen geht einen eigenen Weg.

Andernorts können Sicherheitsforscher wohl weiterhin mehr Geld mit Apple-Lücken verdienen. Die US-Bundespolizei FBI zahlte einem externen Dienstleister dieses Jahr eine Summe von fast einer Million Dollar für ein Verfahren, um die PIN-Sperre von Smartphones des Typs iPhone 5C zu umgehen. Auch Unternehmen, die mit Zero-Day-Lücken handeln, wie Zerodium oder Vupen, bieten Beträge in Millionenhöhe für grundlegende iOS-Lücken.

[mit Material von Laura Hautala, CNET.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

13 Stunden ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

4 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

5 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

5 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago