Mehr Anreize für Sicherheitsforscher

Warum das Bug-Bounty-Programm von Apple wichtig ist

14.08.2019
Von 
Halyna Kubiv ist Content Managerin bei der Macwelt.
Dass unveröffentlichte iOS- oder macOS-Bugs sehr wertvoll sind, wussten bis zuletzt wohl alle, außer Apple selbst.

Fast schon verbittert klingt Felix Krause, der Entdecker eines Screenshot-Bugs unter macOS, auf Twitter: "Ich habe eine Lücke in iTunes Connect entdeckt, durch welche ich den kompletten Code jeder Beta-App im App Store einsehen konnte. Die Meldung an Apple war eine Tortur und dauerte ewig. Die haben die Lücke innerhalb von vier Wochen geschlossen, ich habe von denen nichts gehört, sie haben mir nicht mal gedankt."

Bis zuletzt geizte die Firma mit Belohnungen für die entdeckten Sicherheitslücken. So entstanden absurde Situationen wie im Februar dieses Jahren: Linus Henze aus Koblenz hat eine funktionierende Schlüsselbund-Lücke vorgestellt. Über diese könnten die Passwörter eines Nutzers leicht ausgelesen werden. Der Entwickler wollte die Information darüber aber nicht an Apple weiterleiten, weil damals ein Bounty-Programm für macOS-Lücken fehlte. Nach einer Woche erbarmte sich Henze dann doch, Apple schloss die Lücke im nachfolgenden macOS-Update.

Apple hat die Belohnung für das Auffinden von Sicherheitslücken auf bis zu eine Million Dollar erhöht. Außerdem werden von dem Bug-Bounty-Programm auch macOS, watchOS und tvOS sowie die iCloud abgedeckt.
Apple hat die Belohnung für das Auffinden von Sicherheitslücken auf bis zu eine Million Dollar erhöht. Außerdem werden von dem Bug-Bounty-Programm auch macOS, watchOS und tvOS sowie die iCloud abgedeckt.
Foto: Pixelbliss - shutterstock.com

Solche Situationen sind für die Zukunft nun eher ausgeschlossen, denn Apple hat angekündigt, dass es auch das Auffinden von macOS-, watchOS- und tvOS-Lücken belohnen wird. Was dies genau für Entdecker und letztendlich Nutzer bedeutet, hat uns der Sicherheitsexperte Stefan Esser erklärt. Esser, auf Twitter unter @i0n1c aktiv, ist in der Hacker-Community bekannt: Sein untethered Exploit für iOS 4.3 wurde für die Jailbreaks unter iOS 4.3.1 bis 4.3.3 genutzt. Unter iOS 8.4 hat er ebenfalls einen Jailbreak vorgeführt, jedoch nie veröffentlicht.

Win-Win-Situation für Apple, Entwickler und Kunden

Laut Esser könnte das erweiterte Belohnungsprogramm von Apple nur positive Folgen für die Nutzer haben. Mehr Entwickler werden sich die möglichen Angriffsstellen anschauen und ihre Erkenntnisse an Apple melden. Davon werden auch Nutzer profitieren, weil die Sicherheit aller Plattformen gesteigert wird.

Besonders positiv sieht Esser einen 50-prozentigen Bonus für Lücken im Beta-Programm. Laut dem Entwickler zahlen andere große Firmen für Beta-Bugs nichts, wenn aber Apple sein Versprechen erfülle, werden einige fiese Lücken erst gar nicht auf die Geräte der Nutzer gelangen.

Momentan werden die Developer eher angehalten, mit den gefundenen Schwachstellen zu warten, bis das System final erscheint und ihre Fundstücke sich für die Bounty-Programme qualifizieren. Bis der Hersteller die gefundene Lücke schließt, vergeht einige Zeit. Je nach Plattform-Größe sind dann alle Nutzer potentiell gefährdet. Im Fall von iOS können das einige Millionen User sein.

Esser schätzt die von Apple ausgelobten Prämien ziemlich fair ein. Andere Betreiber der Bug-Bounty-Programme können auch weniger zahlen. Google zahlt beispielsweise für eine kritische Lücke im aktuellen Android bis zu 200 000 US-Dollar. Andererseits wollte die Sicherheitsfirma Zerodium für eine unentdeckte iOS-10-Lücke gleich 1,5 Mio. US-Dollar zahlen. Der Experte merkt zudem an, dann die verkündeten Preise die Maximalprämien sind. Wie viel ein Melder tatsächlich von Apple ausgezahlt erhält, ist Apple überlassen.

Es sei dennoch ein Schritt nach vorne: Vor drei Jahren hatte Apple zum ersten Mal bekannt gegeben, für die gefundenen Lücken außer Ruhm und Ehre etwas zahlen zu wollen. In der Kommunikation mit den Entwicklern habe Apple aber immer wieder betont, dass es sich um einen Testlauf handle. In der Zukunft wolle man das Programm erweitern und öffnen.

Ursprünglich habe Apple nur eine kleine Gruppe der Sicherheitsforscher zur Teilnahme eingeladen, viele aus der Community wären gegenüber dem Hersteller aber misstrauisch und hätten die Teilnahme verweigert. Diejenigen, die sich mit dem Programm einverstanden erklärt haben, waren mit den nicht geschriebenen Regeln konfrontiert, deren Auslegung recht schwammig war. Dass das zu Kontroversen führen kann, zeigt das Beispiel von App Store und dessen Richtlinien: Immer wieder tragen die Entwickler den Streit mit Apple öffentlich aus.

Im Allgemeinen ist sich Stefan Esser in Bezug auf Apples Bounty-Programm sicher: "Davon profitiert das gesamte Apple Eco-System". (Macwelt)