Categories: MobileMobile OS

Apple öffnet iOS für Sicherheitsforscher

Apple macht sein Mobilbetriebssystem iOS für Sicherheitsforscher zugänglich. Es reagiert damit auf Kritik, wonach die Beschränkungen des OS, mit denen Apple die Sicherheit seiner Nutzer gewährleisten will, auch zu deren Nachteil sein können: Sie sperren unabhängige Sicherheitsforscher aus und verhindern, dass sie Schwachstellen finden, die von Hackern ausgenutzt werden können.

Zu diesem Zweck bietet der iPhone-Hersteller nun das Apple Security Research Device Program an. „Als Teil von Apples Engagement für Sicherheit soll dieses Programm dazu beitragen, die Sicherheit für alle iOS-Benutzer zu verbessern, mehr Forscher auf das iPhone zu bringen und die Effizienz für diejenigen zu steigern, die bereits an der Sicherheit von iOS arbeiten. Es umfasst ein iPhone, das ausschließlich der Sicherheitsforschung gewidmet ist und über einzigartige Richtlinien zur Codeausführung und -eindämmung verfügt“, heißt es auf der Developer-Website von Apple.

Ein Security Research Device ist ein herkömmliches iPhone, das einen Shell-Zugang bietet und es Forschern erlaubt, beliebe Tools auszuführen. Darüber hinaus soll sich das Gerät wie ein gewöhnliches iPhone verhalten, damit es als repräsentatives Forschungsobjekt gelten kann.

Die Geräte bleiben Eigentum von Apple und werde jeweils für einen Zeitraum von 12 Monaten zur Verfügung gestellt, der jedoch verlängert werden kann. Eine tägliche Nutzung untersagt Apple ausdrücklich – die Geräte dürfen Räumlichkeiten der Programmteilnehmer grundsätzlich nicht verlassen. Zudem muss jeder Teilnehmer den Zugriff auf von Apple autorisierte Personen beschränken.

Darüber hinaus verlangt Apple, dass alle Teilnehmer jegliche Sicherheitslücken, die sie finden oder prüfen, an Apple melden. Das gilt auch für von anderen Forschern entdeckte Schwachstellen, die sie lediglich bestätigen sollen. Anfälligkeiten dürfen zudem nur zu einem von Apple genannten Termin öffentlich gemacht werden. Apple sagt indes zu, alle Bugs so schnell wie möglich zu beseitigen. Zudem sind alle gefundenen Schwachstellen für eine Belohnung nach Apples Security Bounty Program qualifiziert.

Interessenten müssen sich für die Teilnahme an dem Programm bewerben. Laut Apple sind möglicherweise nicht genug Geräte für alle Interessenten vorhanden – eine weitere Anmeldemöglichkeit will Apple aber erst im kommenden Jahr anbieten. Zudem schränkt Apple die Herkunft der Forscher auf 23 Staaten ein, darunter auch Deutschland.

Einige Sicherheitsforscher, darunter auch Googles Project Zero, kündigten bereits an, nicht an dem Programm teilnehmen zu wollen. Sie wollen sich unter anderem nicht der Auflage beugen, dass Apple bestimmt, wann eine Schwachstelle offengelegt wird. Der Google-Mitarbeiter Ben Hawkers vermutet gar, dass diese Regelung gezielt Forscher ausschließen soll, die sich einer Offenlegung von Sicherheitslücken innerhalb von 90 Tagen verpflichtet haben.

„Fristen für eine Offenlegung sind ein Standvorgehen in der Branche. Sie sind notwendig“, sagte der Sicherheitsforscher Axi0mX im Gespräch mit ZDNet USA. „Apple verlangt von den Forschern, dass sie nach dessen Ermessen eine unbegrenzte Zeit warten müssen, bevor sie Fehler offenlegen können, die mit dem Security Research Device Program gefunden wurden. Es gibt keine Frist. Dies ist eine Giftpille.“

Apples Ruf in der Sicherheits-Community ist nicht sehr gut. Ein Vorwurf lautet, dass Apple sein Security Bounty Program nur nutzen soll, um Forscher mundtot zu machen. Per Twitter kritisierte der Sicherheitsforscher Jeff Johnson im April, das Unternehmen habe im Rahmen des im Dezember gestarteten Programms seines Wissens nach noch keine einzige Belohnung ausgezahlt. „Das ist ein Witz. Ich glaube, es geht nur darum, Forscher so lange wie möglich zu Fehlern zum Schweigen zu bringen.“

Eine Offenlegung von Schwachstellen nach einer festgelegten Frist ist umstritten. Sie soll vor allem den Druck auf die Hersteller erhöhen, zeitnah einen Patch bereitzustellen. Schließlich könnten jederzeit auch Cyberkriminelle auf denselben Fehler stoßen und aus einem dem Hersteller bekannten Bug eine Zero-Day-Lücke machen. Gegner einer starren Frist argumentieren indes, dass sich nicht jede Sicherheitslücke fristgerecht beheben lässt und eine Offenlegung vor allem zu Lasten von Nutzern erfolgt.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

15 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

17 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

17 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

21 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

21 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

22 Stunden ago