Categories: MobileMobile OS

Apple öffnet iOS für Sicherheitsforscher

Apple macht sein Mobilbetriebssystem iOS für Sicherheitsforscher zugänglich. Es reagiert damit auf Kritik, wonach die Beschränkungen des OS, mit denen Apple die Sicherheit seiner Nutzer gewährleisten will, auch zu deren Nachteil sein können: Sie sperren unabhängige Sicherheitsforscher aus und verhindern, dass sie Schwachstellen finden, die von Hackern ausgenutzt werden können.

Zu diesem Zweck bietet der iPhone-Hersteller nun das Apple Security Research Device Program an. „Als Teil von Apples Engagement für Sicherheit soll dieses Programm dazu beitragen, die Sicherheit für alle iOS-Benutzer zu verbessern, mehr Forscher auf das iPhone zu bringen und die Effizienz für diejenigen zu steigern, die bereits an der Sicherheit von iOS arbeiten. Es umfasst ein iPhone, das ausschließlich der Sicherheitsforschung gewidmet ist und über einzigartige Richtlinien zur Codeausführung und -eindämmung verfügt“, heißt es auf der Developer-Website von Apple.

Ein Security Research Device ist ein herkömmliches iPhone, das einen Shell-Zugang bietet und es Forschern erlaubt, beliebe Tools auszuführen. Darüber hinaus soll sich das Gerät wie ein gewöhnliches iPhone verhalten, damit es als repräsentatives Forschungsobjekt gelten kann.

Die Geräte bleiben Eigentum von Apple und werde jeweils für einen Zeitraum von 12 Monaten zur Verfügung gestellt, der jedoch verlängert werden kann. Eine tägliche Nutzung untersagt Apple ausdrücklich – die Geräte dürfen Räumlichkeiten der Programmteilnehmer grundsätzlich nicht verlassen. Zudem muss jeder Teilnehmer den Zugriff auf von Apple autorisierte Personen beschränken.

Darüber hinaus verlangt Apple, dass alle Teilnehmer jegliche Sicherheitslücken, die sie finden oder prüfen, an Apple melden. Das gilt auch für von anderen Forschern entdeckte Schwachstellen, die sie lediglich bestätigen sollen. Anfälligkeiten dürfen zudem nur zu einem von Apple genannten Termin öffentlich gemacht werden. Apple sagt indes zu, alle Bugs so schnell wie möglich zu beseitigen. Zudem sind alle gefundenen Schwachstellen für eine Belohnung nach Apples Security Bounty Program qualifiziert.

Interessenten müssen sich für die Teilnahme an dem Programm bewerben. Laut Apple sind möglicherweise nicht genug Geräte für alle Interessenten vorhanden – eine weitere Anmeldemöglichkeit will Apple aber erst im kommenden Jahr anbieten. Zudem schränkt Apple die Herkunft der Forscher auf 23 Staaten ein, darunter auch Deutschland.

Einige Sicherheitsforscher, darunter auch Googles Project Zero, kündigten bereits an, nicht an dem Programm teilnehmen zu wollen. Sie wollen sich unter anderem nicht der Auflage beugen, dass Apple bestimmt, wann eine Schwachstelle offengelegt wird. Der Google-Mitarbeiter Ben Hawkers vermutet gar, dass diese Regelung gezielt Forscher ausschließen soll, die sich einer Offenlegung von Sicherheitslücken innerhalb von 90 Tagen verpflichtet haben.

„Fristen für eine Offenlegung sind ein Standvorgehen in der Branche. Sie sind notwendig“, sagte der Sicherheitsforscher Axi0mX im Gespräch mit ZDNet USA. „Apple verlangt von den Forschern, dass sie nach dessen Ermessen eine unbegrenzte Zeit warten müssen, bevor sie Fehler offenlegen können, die mit dem Security Research Device Program gefunden wurden. Es gibt keine Frist. Dies ist eine Giftpille.“

Apples Ruf in der Sicherheits-Community ist nicht sehr gut. Ein Vorwurf lautet, dass Apple sein Security Bounty Program nur nutzen soll, um Forscher mundtot zu machen. Per Twitter kritisierte der Sicherheitsforscher Jeff Johnson im April, das Unternehmen habe im Rahmen des im Dezember gestarteten Programms seines Wissens nach noch keine einzige Belohnung ausgezahlt. „Das ist ein Witz. Ich glaube, es geht nur darum, Forscher so lange wie möglich zu Fehlern zum Schweigen zu bringen.“

Eine Offenlegung von Schwachstellen nach einer festgelegten Frist ist umstritten. Sie soll vor allem den Druck auf die Hersteller erhöhen, zeitnah einen Patch bereitzustellen. Schließlich könnten jederzeit auch Cyberkriminelle auf denselben Fehler stoßen und aus einem dem Hersteller bekannten Bug eine Zero-Day-Lücke machen. Gegner einer starren Frist argumentieren indes, dass sich nicht jede Sicherheitslücke fristgerecht beheben lässt und eine Offenlegung vor allem zu Lasten von Nutzern erfolgt.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago