Sicherheitslücke gefunden? Apple zahlt zukünftig bis zu $200.000

Während finanzstarke Bug-Bounty-Programme bei den großen Online-Konzernen schon seit Jahren zum Standardrepertoire gehören – Facebook betreibt sein Kopfgeld-Programm für Security-Bugs bereits 2011 – entschied sich Apple bislang gegen die Vergütung gefundener Sicherheitslücken.

Ein Umstand, der in der Vergangenen unter anderem dazu führte, dass sich das FBI die noch offenen Lücken auf dem Schwarzmarkt einkaufen konnte. Ab September soll damit Schluss sein.

Wie Apple jetzt gegenüber dem US-Fachmagazin Techcrunch bekannt gab will das Unternehmen bereits im September ein eigenes Bug-Bounty-Programm starten und das Aufspüren von Sicherheitslücken in iOS und OS X bzw. macOS dann mit bis zu $200.000 belohnen.

Die Apple-Ankündigung auf der BlackHat-Konferenz

Insgesamt will Apple fünf Kategorien einführen, die dafür sorgen sollen, dass Sicherheitslücken nicht mehr zum Bau von Jailbreak-Lösungen genutzt werden, sondern schnell geschlossen werden können.

• Für Sicherheitslücken in der „secure boot firmware“ der eigenen Geräte zahlt Apple bis zu $200.000.
• Sicherheitslücken die die Secure Enclave des iPhones betreffen sind $100.000 wert.
• Wer es schafft schadhaften Code mit „kernel privileges“ auszuführen kann sich $50.000 sichern.
• Ebenfalls $50.000 gibt es für Nutzer die Apples iCloud-Server kompromittieren
• Programmierer, die mit ihrer App aus Apples Sandbox ausbrechen können, dürfen sich über $25.000 freuen.

Für gute Zwecke

Entwickler, die ihre Kopfgeld-Prämien an einen guten Zweck spenden möchten, können die Auszahlung zudem verdoppeln. Sollte das Geld an eine gemeinnützige Organisation gehen, legt Cupertino die gleiche Summe noch mal oben drauf.

Um am Bug-Bounty-Programme teilzunehmen müssen interessierte Programmierer den Fehler im jeweils aktuellen Betriebssystem reproduzieren können und ein proof-of-concept bei Apple einreichen.