Apple macht sein Mobilbetriebssystem iOS für Sicherheitsforscher zugänglich. Es reagiert damit auf Kritik, wonach die Beschränkungen des OS, mit denen Apple die Sicherheit seiner Nutzer gewährleisten will, auch zu deren Nachteil sein können: Sie sperren unabhängige Sicherheitsforscher aus und verhindern, dass sie Schwachstellen finden, die von Hackern ausgenutzt werden können.
Ein Security Research Device ist ein herkömmliches iPhone, das einen Shell-Zugang bietet und es Forschern erlaubt, beliebe Tools auszuführen. Darüber hinaus soll sich das Gerät wie ein gewöhnliches iPhone verhalten, damit es als repräsentatives Forschungsobjekt gelten kann.
Die Geräte bleiben Eigentum von Apple und werde jeweils für einen Zeitraum von 12 Monaten zur Verfügung gestellt, der jedoch verlängert werden kann. Eine tägliche Nutzung untersagt Apple ausdrücklich – die Geräte dürfen Räumlichkeiten der Programmteilnehmer grundsätzlich nicht verlassen. Zudem muss jeder Teilnehmer den Zugriff auf von Apple autorisierte Personen beschränken.
Darüber hinaus verlangt Apple, dass alle Teilnehmer jegliche Sicherheitslücken, die sie finden oder prüfen, an Apple melden. Das gilt auch für von anderen Forschern entdeckte Schwachstellen, die sie lediglich bestätigen sollen. Anfälligkeiten dürfen zudem nur zu einem von Apple genannten Termin öffentlich gemacht werden. Apple sagt indes zu, alle Bugs so schnell wie möglich zu beseitigen. Zudem sind alle gefundenen Schwachstellen für eine Belohnung nach Apples Security Bounty Program qualifiziert.
Interessenten müssen sich für die Teilnahme an dem Programm bewerben. Laut Apple sind möglicherweise nicht genug Geräte für alle Interessenten vorhanden – eine weitere Anmeldemöglichkeit will Apple aber erst im kommenden Jahr anbieten. Zudem schränkt Apple die Herkunft der Forscher auf 23 Staaten ein, darunter auch Deutschland.
Einige Sicherheitsforscher, darunter auch Googles Project Zero, kündigten bereits an, nicht an dem Programm teilnehmen zu wollen. Sie wollen sich unter anderem nicht der Auflage beugen, dass Apple bestimmt, wann eine Schwachstelle offengelegt wird. Der Google-Mitarbeiter Ben Hawkers vermutet gar, dass diese Regelung gezielt Forscher ausschließen soll, die sich einer Offenlegung von Sicherheitslücken innerhalb von 90 Tagen verpflichtet haben.
„Fristen für eine Offenlegung sind ein Standvorgehen in der Branche. Sie sind notwendig“, sagte der Sicherheitsforscher Axi0mX im Gespräch mit ZDNet USA. „Apple verlangt von den Forschern, dass sie nach dessen Ermessen eine unbegrenzte Zeit warten müssen, bevor sie Fehler offenlegen können, die mit dem Security Research Device Program gefunden wurden. Es gibt keine Frist. Dies ist eine Giftpille.“
Apples Ruf in der Sicherheits-Community ist nicht sehr gut. Ein Vorwurf lautet, dass Apple sein Security Bounty Program nur nutzen soll, um Forscher mundtot zu machen. Per Twitter kritisierte der Sicherheitsforscher Jeff Johnson im April, das Unternehmen habe im Rahmen des im Dezember gestarteten Programms seines Wissens nach noch keine einzige Belohnung ausgezahlt. „Das ist ein Witz. Ich glaube, es geht nur darum, Forscher so lange wie möglich zu Fehlern zum Schweigen zu bringen.“
Eine Offenlegung von Schwachstellen nach einer festgelegten Frist ist umstritten. Sie soll vor allem den Druck auf die Hersteller erhöhen, zeitnah einen Patch bereitzustellen. Schließlich könnten jederzeit auch Cyberkriminelle auf denselben Fehler stoßen und aus einem dem Hersteller bekannten Bug eine Zero-Day-Lücke machen. Gegner einer starren Frist argumentieren indes, dass sich nicht jede Sicherheitslücke fristgerecht beheben lässt und eine Offenlegung vor allem zu Lasten von Nutzern erfolgt.
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…