Categories: MobileMobile OS

Apple öffnet iOS für Sicherheitsforscher

Apple macht sein Mobilbetriebssystem iOS für Sicherheitsforscher zugänglich. Es reagiert damit auf Kritik, wonach die Beschränkungen des OS, mit denen Apple die Sicherheit seiner Nutzer gewährleisten will, auch zu deren Nachteil sein können: Sie sperren unabhängige Sicherheitsforscher aus und verhindern, dass sie Schwachstellen finden, die von Hackern ausgenutzt werden können.

Zu diesem Zweck bietet der iPhone-Hersteller nun das Apple Security Research Device Program an. „Als Teil von Apples Engagement für Sicherheit soll dieses Programm dazu beitragen, die Sicherheit für alle iOS-Benutzer zu verbessern, mehr Forscher auf das iPhone zu bringen und die Effizienz für diejenigen zu steigern, die bereits an der Sicherheit von iOS arbeiten. Es umfasst ein iPhone, das ausschließlich der Sicherheitsforschung gewidmet ist und über einzigartige Richtlinien zur Codeausführung und -eindämmung verfügt“, heißt es auf der Developer-Website von Apple.

Ein Security Research Device ist ein herkömmliches iPhone, das einen Shell-Zugang bietet und es Forschern erlaubt, beliebe Tools auszuführen. Darüber hinaus soll sich das Gerät wie ein gewöhnliches iPhone verhalten, damit es als repräsentatives Forschungsobjekt gelten kann.

Die Geräte bleiben Eigentum von Apple und werde jeweils für einen Zeitraum von 12 Monaten zur Verfügung gestellt, der jedoch verlängert werden kann. Eine tägliche Nutzung untersagt Apple ausdrücklich – die Geräte dürfen Räumlichkeiten der Programmteilnehmer grundsätzlich nicht verlassen. Zudem muss jeder Teilnehmer den Zugriff auf von Apple autorisierte Personen beschränken.

Darüber hinaus verlangt Apple, dass alle Teilnehmer jegliche Sicherheitslücken, die sie finden oder prüfen, an Apple melden. Das gilt auch für von anderen Forschern entdeckte Schwachstellen, die sie lediglich bestätigen sollen. Anfälligkeiten dürfen zudem nur zu einem von Apple genannten Termin öffentlich gemacht werden. Apple sagt indes zu, alle Bugs so schnell wie möglich zu beseitigen. Zudem sind alle gefundenen Schwachstellen für eine Belohnung nach Apples Security Bounty Program qualifiziert.

Interessenten müssen sich für die Teilnahme an dem Programm bewerben. Laut Apple sind möglicherweise nicht genug Geräte für alle Interessenten vorhanden – eine weitere Anmeldemöglichkeit will Apple aber erst im kommenden Jahr anbieten. Zudem schränkt Apple die Herkunft der Forscher auf 23 Staaten ein, darunter auch Deutschland.

Einige Sicherheitsforscher, darunter auch Googles Project Zero, kündigten bereits an, nicht an dem Programm teilnehmen zu wollen. Sie wollen sich unter anderem nicht der Auflage beugen, dass Apple bestimmt, wann eine Schwachstelle offengelegt wird. Der Google-Mitarbeiter Ben Hawkers vermutet gar, dass diese Regelung gezielt Forscher ausschließen soll, die sich einer Offenlegung von Sicherheitslücken innerhalb von 90 Tagen verpflichtet haben.

„Fristen für eine Offenlegung sind ein Standvorgehen in der Branche. Sie sind notwendig“, sagte der Sicherheitsforscher Axi0mX im Gespräch mit ZDNet USA. „Apple verlangt von den Forschern, dass sie nach dessen Ermessen eine unbegrenzte Zeit warten müssen, bevor sie Fehler offenlegen können, die mit dem Security Research Device Program gefunden wurden. Es gibt keine Frist. Dies ist eine Giftpille.“

Apples Ruf in der Sicherheits-Community ist nicht sehr gut. Ein Vorwurf lautet, dass Apple sein Security Bounty Program nur nutzen soll, um Forscher mundtot zu machen. Per Twitter kritisierte der Sicherheitsforscher Jeff Johnson im April, das Unternehmen habe im Rahmen des im Dezember gestarteten Programms seines Wissens nach noch keine einzige Belohnung ausgezahlt. „Das ist ein Witz. Ich glaube, es geht nur darum, Forscher so lange wie möglich zu Fehlern zum Schweigen zu bringen.“

Eine Offenlegung von Schwachstellen nach einer festgelegten Frist ist umstritten. Sie soll vor allem den Druck auf die Hersteller erhöhen, zeitnah einen Patch bereitzustellen. Schließlich könnten jederzeit auch Cyberkriminelle auf denselben Fehler stoßen und aus einem dem Hersteller bekannten Bug eine Zero-Day-Lücke machen. Gegner einer starren Frist argumentieren indes, dass sich nicht jede Sicherheitslücke fristgerecht beheben lässt und eine Offenlegung vor allem zu Lasten von Nutzern erfolgt.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

20 Minuten ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

4 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

5 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

6 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

6 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

8 Stunden ago