Erfolgloses "Bug Bounty"-Programm
Apple zu knausrig: Sicherheitslücken verkaufen sich besser unter der Hand
Seit knapp einem Jahr bietet Apple im Rahmen eines sogenannten „Bug Bounty“-Programms Belohnungen für das Melden von bislang unbekannten Sicherheitslücken. Mit Blick auf die ersten Erfahrungen diesbezüglich kritisieren Sicherheitsforscher nun, dass das Unternehmen nicht bereit ist, Einreichungen angemessen zu honorieren. Wer auf das Geld aus sei, verkaufe die gefundenen Programmierfehler besser anderweitig.
Mit dem im Rahmen solcher Programme geschaffenen finanziellen Anreiz wollen Unternehmen dem Handel mit Sicherheitslücken das Wasser abgraben. Dergleichen ist mittlerweile Standard und wird von Firmen wie Facebook schon deutlich länger gepflegt. In der Folge haben sich etliche Hacker und Sicherheitsforscher auch auf die in der Regel lohnenswerte Jagd nach entsprechenden Lücken spezialisiert. Mit Blick auf Apple ticken die Uhren allerdings anders. Einem Bericht des Onlinemagazins Motherboard zufolge würde der iPhone-Hersteller auch das Aufspüren von hochgradigen Sicherheitslücken nur mit vergleichsweise geringen Prämien vergüten. In der Folge würden die Finder dieser Programmierfehler ihr Wissen oft für sich selbst behalten, teils eben auch, um auf lukrativere Angebote von Regierungsbehörden oder gar Malware-Entwicklern zu warten.
Offiziell bietet Apple für das Auffinden von Sicherheitslücken zwischen 25.000 und 200.000 Dollar. Das klingt auf den ersten Blick viel, ist aber kein Vergleich zu den anderweitig erzielbaren Preisen, hier ist von bis zu 1,5 Millionen Dollar beispielsweise für einen Jailbreak die Rede.
In the private, gray market, where companies such as Zerodium buy exploits from researchers and sell them to their customers, a method comprised of multiple bugs that can jailbreak the iPhone is valued at $1.5 million. Another firm, Exodus Intelligence, offers up to $500,000 for similar iOS exploits.
Wenn das eigene Angebot ernst genommen werde soll, muss Apple Sicherheitsforschern zufolge mit diesen Marktpreisen mithalten. Die Tatsache, dass bislang nur wenige Fehler gemeldet wurden sei weniger ein Anzeichen dafür, dass iOS extrem sicher ist, sondern eher auf die geringe Attraktivität von Apples Bug-Bounty-Programm zurückzuführen.