{"id":175287,"date":"2021-09-10T06:48:37","date_gmt":"2021-09-10T04:48:37","guid":{"rendered":"https:\/\/www.ifun.de\/?p=175287"},"modified":"2021-09-10T06:49:16","modified_gmt":"2021-09-10T04:49:16","slug":"sicherheitsforscher-apple-nimmt-gemeldete-sicherheitsluecken-nicht-ernst","status":"publish","type":"post","link":"https:\/\/www.ifun.de\/sicherheitsforscher-apple-nimmt-gemeldete-sicherheitsluecken-nicht-ernst-175287\/","title":{"rendered":"Sicherheitsforscher kritisieren Apples Umgang mit gemeldeten Sicherheitsl\u00fccken"},"content":{"rendered":"<p>Die <a href=\"https:\/\/www.washingtonpost.com\/technology\/2021\/09\/09\/apple-bug-bounty\/\">Washington Post<\/a> l\u00e4sst Apple in einem Bericht \u00fcber den Umgang mit gemeldeten Sicherheitsl\u00fccken schlecht dastehen. Die Vorw\u00fcrfe wiegen schwer, so behebe Apple gemeldete Fehler nicht nur langsam, sondern zahle den Sicherheitsforschern auch nicht immer das, was ihnen ihrer Meinung nach zusteht. Untermauert werden die Anschuldigungen durch Aussagen von Betroffenen und mit der Angelegenheit vertrauten Personen.<\/p>\n<p>Nach einem <a href=\"https:\/\/www.ifun.de\/sicherheitsluecke-gefunden-apple-zahlt-zukuenftig-bis-zu-200-000-95864\/\" title=\"2016 eingef\u00fchrte\">z\u00f6gerlichen Start<\/a> vor f\u00fcnf Jahren hat Apple im Jahr 2019 <a href=\"https:\/\/www.ifun.de\/bis-zu-1-mio-dollar-apple-praesentiert-neue-bug-bounty-praemien-141445\/\" title=\"Bis zu 1 Mio. Dollar: Apple pr\u00e4sentiert neue Bug Bounty-Pr\u00e4mien\">angek\u00fcndigt<\/a>, f\u00fcr entdeckte und gemeldete Sicherheitsl\u00fccken bis zu einer Million Dollar auszuzahlen. In der Branche kennt man dergleichen unter der Bezeichnung Bug-Bounty-Programm. \u00dcppige Pr\u00e4mien sollen Sicherheitsforscher und Hacker dazu verleiten, ihr Wissen \u00fcber Schwachstellen mit dem Hersteller zu teilen, anstelle die Sicherheitsl\u00fccken auf dem Schwarzmarkt anzubieten.<\/p>\n<p><a href=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2021\/09\/staffel-bug-bounty.jpg\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2021\/09\/staffel-bug-bounty-700x451.jpg\" alt=\"Staffel Bug Bounty\" width=\"700\" height=\"451\" class=\"alignnone size-large wp-image-175296\" srcset=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2021\/09\/staffel-bug-bounty-700x451.jpg 700w, https:\/\/images.ifun.de\/wp-content\/uploads\/2021\/09\/staffel-bug-bounty-500x322.jpg 500w, https:\/\/images.ifun.de\/wp-content\/uploads\/2021\/09\/staffel-bug-bounty-768x495.jpg 768w, https:\/\/images.ifun.de\/wp-content\/uploads\/2021\/09\/staffel-bug-bounty.jpg 1024w\" sizes=\"auto, (max-width: 700px) 100vw, 700px\" \/><\/a><\/p>\n<h6>Apples Bug-Bounty-Pr\u00e4mien (<a href=\"https:\/\/twitter.com\/lorenzofb\/status\/1159553596175728640\">Bild: Lorenzo Franceschi-Bicchierai<\/a>)<\/h6>\n<p>Apple sah sich lange Zeit in der Kritik, hier zu wenig Anreize zu schaffen und in der Folge die eigenen Kunden zu gef\u00e4hrden. Auf dem Schwarzmarkt angebotene Schwachstellen bilden h\u00e4ufig die Grundlage f\u00fcr Malware oder werden gar f\u00fcr Spionage-Tools verwendet. <\/p>\n<p>Die Washington Post hat nun mehr als zwei Dutzend Sicherheitsforscher zum Thema befragt. In den Interviews kommt Apple nicht zuletzt auch aufgrund seiner Geheimhaltungspolitik verglichen mit der Konkurrenz schlecht weg. W\u00e4hrend Firmen wie Facebook, Microsoft oder Google aktiv \u00fcber ihre Anstrengungen und Angebote in diesem Bereich informieren und nicht nur lobenswerte Worte f\u00fcr die partizipierenden Sicherheitsforscher finden, sondern auch konkret \u00fcber die ausgezahlten Pr\u00e4mien informieren, herrscht bei Apple Funkstille.<\/p>\n<p>Doch Apple sieht sich dar\u00fcber hinaus mit ernst zu nehmenden Vorw\u00fcrfen konfrontiert. So sei das Unternehmen mit Blick auf die Behebung von Sicherheitsl\u00fccken massiv im R\u00fcckstand. Dies best\u00e4tigen Apple-Mitarbeiter ebenso wie die Fehler meldende Sicherheitsforscher. Selbst akute und gef\u00e4hrliche Schwachstellen w\u00fcrden teils \u00fcber Monate hinweg nicht korrigiert. Ein Sicherheitsforscher wurde sogar aus Apples Entwicklerprogramm geworfen, nachdem er weil Apple einen von ihm gemeldeten Fehler \u00fcber Monate hinweg nicht korrigiert hat, Informationen dazu ver\u00f6ffentlicht hatte.<\/p>\n<p><a href=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2021\/09\/wp-zhang.jpg\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2021\/09\/wp-zhang-700x237.jpg\" alt=\"Wp Zhang\" width=\"700\" height=\"237\" class=\"alignnone size-large wp-image-175292\" srcset=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2021\/09\/wp-zhang-700x237.jpg 700w, https:\/\/images.ifun.de\/wp-content\/uploads\/2021\/09\/wp-zhang-500x169.jpg 500w, https:\/\/images.ifun.de\/wp-content\/uploads\/2021\/09\/wp-zhang-768x260.jpg 768w, https:\/\/images.ifun.de\/wp-content\/uploads\/2021\/09\/wp-zhang.jpg 1400w\" sizes=\"auto, (max-width: 700px) 100vw, 700px\" \/><\/a><\/p>\n<p>Nimmt man dann noch zur Kenntnis, dass etliche der Entdecker solcher Schwachstellen von Apple gar keine oder nur deutlich unter den in Aussicht gestellten Summen liegende Belohnungen erhalten, verwundert es nicht, dass sich einige der Experten nach anderen Einnahmequellen umsehen. Auf dem Schwarzmarkt wechseln solche Informationen f\u00fcr ein Vielfaches mehr den Besitzer. <\/p>\n<p>Apple kann &#8211; zumindest wenn man das Statement des Herstellers gegen\u00fcber der Washington Post betrachtet &#8211; die Kritik nicht ansatzweise nachvollziehen. Ivan Krsti\u0107, der Leiter von Apples Abteilung f\u00fcr \u201eSecurity Engineering and Architecture\u201c,sieht das Bug Bounty Programm als vollen Erfolg. Apple habe den Betrag, der in diesem Jahr gezahlt wurde, im Vergleich zum Vorjahr fast verdoppelt und sei branchenweit f\u00fchrend, was den durchschnittlichen Betrag pro Bounty angeht.<img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/6ba30ceee76442d2bcb519ef66a70220\" width=\"1\" height=\"1\" class=\"tracking\"><\/p>\n","protected":false},"excerpt":{"rendered":"<a href=\"https:\/\/www.ifun.de\/sicherheitsforscher-apple-nimmt-gemeldete-sicherheitsluecken-nicht-ernst-175287\/\"><img width=\"150\" height=\"150\" src=\"https:\/\/images.ifun.de\/wp-content\/uploads\/2021\/09\/staffel-bug-bounty-150x150.jpg\" class=\"alignright tfe wp-post-image\" alt=\"Staffel Bug Bounty\" decoding=\"async\" loading=\"lazy\" \/><\/a><p>Die Washington Post l\u00e4sst Apple in einem Bericht \u00fcber den Umgang mit gemeldeten Sicherheitsl\u00fccken schlecht dastehen. Die Vorw\u00fcrfe wiegen schwer, so behebe Apple gemeldete Fehler nicht nur langsam, sondern zahle den Sicherheitsforschern auch nicht immer das, was ihnen ihrer Meinung nach zusteht. Untermauert werden die Anschuldigungen durch Aussagen von Betroffenen und mit der Angelegenheit vertrauten [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":175296,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3],"tags":[4736,5529,92],"class_list":["post-175287","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-apple","tag-apple","tag-bug-bounty","tag-sicherheit"],"acf":[],"aioseo_notices":[],"subheadline":["\"Bug Bounty Programm\" in der Kritik"],"featured_image":["https:\/\/images.ifun.de\/wp-content\/uploads\/2016\/09\/entwickler.jpg"],"rest_api_enabler":{"subheadline":"\"Bug Bounty Programm\" in der Kritik","featured_image":"https:\/\/images.ifun.de\/wp-content\/uploads\/2016\/09\/entwickler.jpg"},"_links":{"self":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/175287","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/comments?post=175287"}],"version-history":[{"count":8,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/175287\/revisions"}],"predecessor-version":[{"id":175299,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/175287\/revisions\/175299"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media\/175296"}],"wp:attachment":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media?parent=175287"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/categories?post=175287"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/tags?post=175287"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}