Apple schraubt die Belohnung für das Auffinden von Sicherheitslücken in seiner Software auf bis zu eine Million Dollar hoch. Den Betrag soll es für Schwachstellen geben, über die ein Angreifer ohne Zutun des Nutzers auf den Kern des Betriebssystems zugreifen könnte.
Bisher konnte man bei Apple maximal 200'000 Dollar bekommen, während auf dem Schwarzmarkt zum Teil Millionen für iPhone-Schwachstellen geboten wurden. Bei Apple gibt es die Belohnungen künftig auch nicht nur für Lücken im iPhone-System iOS, sondern auch bei Software anderer Apple-Geräte wie Mac-Computer, Apple TV oder Apple Watch.
Sicherheitsexperten haben dies seit Jahren gefordert. Sie warnen, dass gefundene Schwachstellen auf dem Schwarzmarkt landen, wenn Hacker oder Sicherheitsforscher für das Aufspüren und Melden von Schwachstellen nicht angemessen bezahlt werden.
Für Schwachstellen, die in Vorabversionen neuer Betriebssysteme gefunden werden, legt Apple noch einmal 50 Prozent drauf, wie der zuständige Manager Ivan Krstic in der Nacht zum Freitag auf der IT-Sicherheitskonferenz Black Hat in Las Vegas ankündigte. Dies ist dringend notwendig, da zuletzt immer wieder gravierende Lücken in Beta-Versionen von iOS gefunden wurden und inzwischen zahlreiche Apple-User potenziell unsichere Vorabversionen von iOS herunterladen.
Eine weitere Kritik: Bislang bekamen nur von Apple ausgewählte Sicherheitsforscher für gemeldete Fehler eine Belohnung. Nun wird das Bug-Bounty-Programm auf weitere Sicherheitsforscher ausgeweitet.
Zudem sollen gewisse Experten vom kommenden Jahr an für ihre Nachforschungen speziell vorbereitete iPhones mit freierem Zugang zum System als in Verbrauchergeräten bekommen können. Diesen iPhones fehlen bestimmte Sicherheitsmerkmale der Endkundengeräte, was tiefe Einblicke ins Betriebssystem zulässt. Dies ist notwendig, um Fehler aufzuspüren. Apples geschlossene Systemarchitektur verhinderte bislang in vielen Fällen das Aufspüren von Schwachstellen durch externe Experten.
The simple reality is there are so many 0-day exploits for iOS and the only reason why just a few attacks have been caught in the wild is that iOS phones by design hinder defenders to inspect the phones.
— Stefan Esser (@i0n1c) May 14, 2019
Für Apple ist die Datensicherheit vor allem beim iPhone ein wichtiges Verkaufsargument. Der Konzern betreibt dafür einen hohen Aufwand unter anderem mit einem separaten Datentresor im Prozessor. Trotzdem gibt es zahlreiche Unternehmen, die dank immer neuen Sicherheitslücken Schutzmechanismen der iPhones aushebeln können. Solche Firmen bieten ihre Dienste typischerweise Sicherheitsbehörden an. Auch Schweizer Behörden kaufen diese umstrittenen Trojaner.
(oli/sda/dpa)