Mac Life Plus
Security

Apple setzt Kopfgeld auf Bugs aus

Apple ist eines der letzten großen Unternehmen, das kein eigenes Bug-Bounty-Programm anbietet. Das wird sich jedoch ab September ändern. Denn auch Apple wird in Zukunft Programmierer belohnen, die gravierende Bugs in Apples Betriebssystemen finden. Allerdings wird Apple das Bug-Bounty-Programm vorerst nicht für jedermann zugänglich machen, sondern nur ausgewählte Sicherheits-Experten einladen daran teilzunehmen.

Von   Uhr
Auch Apple hat nun endlich ein Bug-Bounty-Programm
Auch Apple hat nun endlich ein Bug-Bounty-Programm (Bild: istockphoto)

Apple hat auf der derzeit stattfindenden Black Hat Conference ein Bug-Bounty-Programm angekündigt. Apples Chef für Software- und Hardware-Sicherheit, Ivan Krstic, verriet auf der Hacker- und Programmierer-Konferenz auch gleich, wie hoch die Belohnungen für die verschiedenen Arten von Bugs sein werden, die Apple auszahlen möchte.

Lesetipp
Unverschlüsselter iOS Kernel: Genialer Move oder Riesenfehler?

Einem Bericht der MIT Technology Review zufolge hat Apple den Kernel von iOS 10 bei der ersten Beta-Version für Entwickler unverschlüsselt... mehr

Wer einen Bug findet, der dafür sorgen kann, dass ein Programm aus einer Sandbox ausbrechen und auf Nutzerdaten außerhalb der Sandbox zugreifen kann, erhält bis zu 25.000 US-Dollar. Ein entdeckter Bug, der den Zugriff auf einen iCloud-Account auf Apples Servern ermöglicht, ist bis zu 50.000 US-Dollar wert. Den gleichen Betrag zahlt Apple auch an denjenigen, der einen Bug findet, der die Ausführung von Code mit Kernel-Privilegien erlaubt. Sollte jemand nachweisen können, dass er aufgrund eines Bugs vertrauliche Daten extrahieren kann, die vom Secure Enclave Prozessor geschützt sind, erhält er bis zu 100.000 US-Dollar. Der höchste Betrag, den Apple in seinem Bug-Bounty-Programm bereit ist zu bezahlen, erhalten Programmierer, die einen Bug in den Secure-Boot-Firmware-Komponenten finden können. Die Entdeckung eines solchen Bugs ist Apple bis zu 200.000 US-Dollar wert.

Apples Bug-Bounty-Programm ist vorerst nicht öffentlich

Apple wird das Programm im September starten. Wer einen Bug findet, wird zusätzlich auch ein Proof-of-Concept liefern müssen. Im Wesentlichen bedeutet dies, dass Programmierer einen Exploit schreiben müssen, der den Bug auf Apples neuester Hardware mit der neuesten Betriebssystem-Version ausnutzen kann. Apple wird zunächst nur ausgewählte Software-Sicherheitsexperten in das Programm einladen. Wann jedermann an Apples Bug-Bounty-Programm teilnehmen können wird, wie es bei den Programmen der meisten anderen Unternehmen üblich ist, ist noch unbekannt.

Mehr zu diesen Themen:

Diskutiere mit!

Hier kannst du den Artikel "Apple setzt Kopfgeld auf Bugs aus" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Die Kommentare für diesen Artikel sind geschlossen.