55 Sicherheitslücken: Hacker kassieren dicke Belohnung von Apple

Eine Gruppe von Hackern hat sich Apple vorgenommen und über einen Zeitraum von drei Monaten hinweg 55 Sicherheitslücken aufgetan. Die Aktion kommt dem Mac-Hersteller allerdings zugute, denn die für die Aktion verantwortlichen Sicherheitsexperten sind mit den Ergebnissen ihrer Arbeit verantwortungsbewusst umgegangen. Nachdem ihr Bericht an Apple übermittelt wurde, hat das Unternehmen unverzüglich alle Sicherheitslücken geschlossen und die Hacker zudem üppig entlohnt. 288.500 Dollar seien bereits geflossen, insgesamt könnte Apples Belohnung sogar die Marke von 500.000 Dollar übersteigen.

Die Sicherheitsforscher haben ihre Arbeit unter dem Titel „We Hacked Apple for 3 Months: Here’s What We Found“ ausführlich dokumentiert, das Magazin Ars Technica kann weitere Details aus einem Chat mit einem der Beteiligten ergänzen. So habe man im Rahmen der Aktion keineswegs nur kleine Probleme enttarnt, elf der übermittelten Schwachstellen wurden als kritisch und weitere 29 als mittelschwer eingestuft.

Eine der aufgedeckten Sicherheitslücken hat es offenbar ermöglicht, über manipulierte E-Mails auf die iCloud-Inhalte der Betroffenen zuzugreifen. Dabei hat es wohl schon genügt, wenn das Opfer die an seine Apple-Adresse adressierte E-Mail öffnet, um den Angreifer mit den gleichen Rechten auszustatten, wie sie der Betroffene hätte, wenn er Apples iCloud von einem Webbrowser aus aufruft. Dies beinhaltet also den Zugriff auf Daten wie die persönliche Fotosammlung, E-Mails, Kontakte und Kalender.

Es überrascht nicht, wenn bei Apple angesichts solcher Sicherheitsprobleme die Alarmglocken läuten. Dementsprechend hätte das Unternehmen auch prompt reagiert und die Sicherheitslücken schnellstmöglich gestopft. Als Belohnung habe man den Hackern zunächst 51.500 Dollar aus Apples Bug-Bounty-Programm für die ersten vier und später nochmal 237.000 Dollar für 28 weitere Schwachstellen überwiesen. Mit Blick auf die restlichen an Apple gemeldeten Sicherheitslücken erwartet das Hacker-Team eine weitere sechsstellige Überweisung.

Apples schnelle Reaktion in diesem Fall findet weitgehend Anerkennung. Genau solche unabhängigen und verantwortungsbewussten Überprüfungen werden aber auch als wichtig für die Sicherheit von Produkten angesehen. Das Aussetzen entsprechender Belohnungen soll dafür Anreize schaffen, und in diesem Fall hat das Ganze wohl einwandfrei funktioniert. Apple hat sein Bug-Bounty-Programm allerdings erst vor vier Jahren und auf öffentlichen Druck hin eingeführt.

Ein Apple-Sprecher hat den Sachverhalt in einer Stellungnahme gegenüber Ars Technica mittlerweile bestätigt:

Bei Apple schützen wir unsere Netzwerke wachsam und verfügen über engagierte Teams von Informationssicherheitsexperten, die daran arbeiten, Bedrohungen zu erkennen und darauf zu reagieren. Sobald die Forscher uns auf die in ihrem Bericht aufgeführten Probleme aufmerksam machten, haben wir die Schwachstellen sofort behoben und Schritte unternommen, um künftige Probleme dieser Art zu verhindern. Unseren Protokollen zufolge entdeckten die Forscher die Schwachstellen als erste, so dass wir sicher sind, dass keine Benutzerdaten missbraucht wurden. Wir schätzen die Zusammenarbeit mit Sicherheitsforschern, die dazu beiträgt, die Sicherheit unserer Benutzer zu gewährleisten, und haben dem Team für seine Hilfe Anerkennung ausgesprochen und werden sie über das Apple-Security-Bounty-Programm belohnen.

Titelbild: SamCurry.net