Security

Warum will ein Bug-Jäger Apple beim eigenen Bug-Bounty-Programm überbieten?

Exodus Intelligence zahlt mehr als doppelt so viel für kritische Bugs in Apples Betriebssystem iOS wie Apple selbst – und Exodus Intelligence ist damit nicht alleine. Denn die Jagd nach Bugs ist ein lukratives Geschäft, mit dem sich sehr viel Geld verdienen lässt. Apple sollte sich somit überlegen, ob es die Belohnungen für sein eigenes Bug-Bounty-Programm nicht deutlich nach oben schrauben möchte, um diesen Unternehmen das Wasser abzugraben.

Von   Uhr

Ein Sicherheitsunternehmen namens Exodus Intelligence hat sich dazu entschlossen, Apple bei seinem eigenen Bug-Bounty-Programm deutlich zu überbieten. Während Apple maximal bis zu 200.000 US-Dollar für kritische Bugs im Betriebssystem iOS auszahlt, sind es bei Exodus Intelligence bis zu einer halben Million US-Dollar. Es stellt sich die Frage warum Exodus Intelligence bereit ist, so viel mehr Geld zu bezahlen als Apple.

Kurz beantwortet, liegt es natürlich am Profit. Exodus Intelligence möchte mit den gefundenen Sicherheitslücken Geld verdienen. Das Unternehmen verkauft die Bugs, in den meisten Fällen wohl zusammen mit einem Exploit, an seine Kunden. Wer sich genau unter diesen Kunden befindet, ist nicht bekannt. Höchstwahrscheinlich wird es sich dabei aber um Geheimdienste und Sicherheitsbehörden handeln, die diese Exploits dazu verwenden möchten, iOS-Geräte auszuspionieren. Möglicherweise befindet sich auch das ein oder andere Unternehmen unter den Kunden, das wiederum nicht notwendigerweise Gutes mit den eingekauften Exploits vorhat.

Bug-Bounty-Programme sind ein lukratives Geschäft

Exodus Intelligence geht offenbar davon aus, dass das eigene Bug-Bounty-Programm deutlich effektiver ist als Apples. Denn während Apple gefundene Sicherheitslücken schließen möchte, verspricht das Sicherheitsunternehmen, das eigentlich kaum als solches bezeichnet werden darf, davon, dass es Bugs liefern kann, die bis zu zwei Jahre offenbleiben. Das bedeutet, dass das Programm von Exodus Intelligence so gut ist, dass Apple trotz des eigenen Bug-Bounty-Programms Sicherheitslücken im eigenen System für bis zu zwei Jahre nicht findet und somit nicht schließen kann.

Exodus Intelligence ist nicht das einzige Unternehmen mit so einem Geschäftsmodell. Auch Zerodium zahlt bis zu 500.000 US-Dollar für sogenannte Zero-Day-Sicherheitslücken in iOS. Zerodium hatte im vergangenen Herbst sogar bis zu einer Million US-Dollar für eine ganz bestimmte iOS-9-Sicherheitslücke geboten, die über den Browser funktioniert. Vermutlich handelte es sich bei dieser sehr spezifischen Lücke um eine Auftragsbestellung eines unbekannten Kunden. Mittlerweile gibt es das Angebot Zerodiums jedoch nicht mehr. Jemand hat einen passenden Exploit entwickelt und an das Unternehmen verkauft.

Was bedeutet dies für Apple? Angesichts der Preise, die andere Unternehmen für iOS-Sicherheitslücken bereit sind zu zahlen, und mit welchem Selbstbewusstsein diese versprechen, dass die Bugs bis zu zwei Jahre bestehen bleiben, sollte sich Apple überlegen, ob 200.000 US-Dollar nicht zu niedrig angesetzt ist.

Diskutiere mit!

Hier kannst du den Artikel "Warum will ein Bug-Jäger Apple beim eigenen Bug-Bounty-Programm überbieten?" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Die Kommentare für diesen Artikel sind geschlossen.