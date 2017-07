07.07.2017 - 12:02 Uhr Geschrieben von Ben Otterstein

Es ist schon sehr wunderlich, wenn ein Unternehmen wie Apple auf der einen Seite für die Sicherheit und den Datenschutz seiner Nutzer einsteht und sich auf der anderen Seite schwertut, wenn es um eine ordentliche Bezahlung für Forscher geht, die nach kleineren und größeren Sicherheitslücken in den Betriebssystemen suchen. Daher wundert es nur wenig, wenn das im letzten Jahr ins Leben gerufene Bug Bounty Program nur wenige Teilnehmer anzieht.



Schützt Apple das iPhone ausreichend oder sollte man lieber mehr Geld für das Auffinden von Bugs ausgeben? (Bild: CC0)

Die Website Motherboard hat einen neuen Bericht veröffentlicht, der sich mit Apple 2016 gestarteten Bug Bounty Program beschäftigt. Das Programm soll dabei helfen große Sicherheitslücken in den Apple-Betriebssystemen zu entdecken. Im Gegenzug sollen die „Finder" der Bugs mit Geldbeträgen für Ihre Mühe entlohnt werden. Die Staffelung sieht wie folgt aus:

Secure boot firmware: 200.000 US-Dollar

Extraction of confidential material protected by the Secure Enclave Processor: 100.000 US-Dollar

Execution of arbitrary code w/kernel privs: 50.000 US-Dollar

Unauthorized access to iCloud account data on Apple Servers: 50.000 US-Dollar

Access from a sandboxed process to user data outside of that sandbox: 25.000 US-Dollar

Die Summen klingen natürlich im ersten Moment viel, aber der Bericht hat aufgedeckt, dass dies für die meisten Forscher nicht genug sei und sie bei Drittanbietern deutlich mehr für die gefundenen Sicherheitslücke beziehungsweise Bugs erhalten können. Der Sicherheitsforscher Nikias Bassen meinte daher, dass Leute, die es vor allem wegen dem Geld machen, Fehler nicht direkt an Apple melden.

Unternehmen wie Zeodium „kaufen" daher solche gefunden Bugs von Forschern und geben diese an Ihre Kunden weiter. So wird etwa für eine Sammlung mehrerer Lücken die einen Jailbreak des iPhone ermöglichen rund 1,5 Millionen US-Dollar gezahlt. Auch das Unternehmen Exodus zahlt mit rund 500.000 US-Dollar für tiefgreifende Bugs deutlich mehr als Apple. Beide Unternehmen geben jedoch an, dass Sie die sogenannten Exploits nur an Unternehmen, Sicherheitsbehörden und Intelligence Agencies weiterverkaufen.