Für Kopfgeldjäger

Apple verdoppelt Bug-Bounty auf zwei Millionen Dollar – aber es gibt einen Haken

Apple verdoppelt die Belohnung für Sicherheitslücken auf zwei Millionen Dollar und führt neue Target Flags ein, die Auszahlungen beschleunigen.

Von   Uhr

Apple hat sein Bug-Bounty-Programm grundlegend überarbeitet und bietet nun bis zu zwei Millionen US-Dollar für die Entdeckung besonders schwerwiegender Sicherheitslücken. Das Unternehmen verdoppelt damit die höchste Belohnung für Exploit-Ketten, die eine ähnliche Komplexität wie professionelle Spyware-Angriffe erreichen.

Quickread: Auf einen Blick
  • Apple verdoppelt die höchste Bug-Bounty-Belohnung auf zwei Millionen US-Dollar für komplexe Exploit-Ketten.
  • Neue Target Flags ermöglichen sofortige Auszahlungen nach Validierung, ohne auf Software-Updates warten zu müssen.
  • Das überarbeitete Programm tritt im November 2025 in Kraft und erweitert die Kategorien um WebKit- und Proximity-Exploits.

Neue Struktur belohnt komplexe Angriffsketten

Das überarbeitete Programm legt deutlich mehr Wert auf vollständige Exploit-Ketten anstatt auf einzelne Sicherheitslücken. Diese Änderung spiegelt die Realität wider, dass echte Angriffe typischerweise mehrere Schwachstellen miteinander verknüpfen. Besonders Remote-Angriffsvektoren werden jetzt deutlich höher entlohnt, während Kategorien, die in der Praxis seltener für Angriffe genutzt werden, geringere Auszahlungen erhalten.

Mit Bonuszahlungen für Umgehungen des Lockdown-Modus und Schwachstellen in Beta-Software können die Gesamtauszahlungen sogar fünf Millionen US-Dollar übersteigen. Apple bezeichnet dies als „die höchste Auszahlung, die jemals von einem Bounty-Programm angeboten wurde“.

Target Flags beschleunigen Auszahlungen

Eine interessante Neuerung sind die sogenannten „Target Flags“, die von Capture-the-Flag-Spielen inspiriert wurden. Wenn Forschende eine Schwachstelle erfolgreich ausnutzen, können sie spezielle Flags erfassen, die genau belegen, welchen Zugriff sie erhalten haben – beispielsweise Code-Ausführung oder beliebige Lese- und Schreibzugriffe.

Exploit-Kette erklärt!

Eine Exploit-Kette verknüpft mehrere Sicherheitslücken miteinander, um ein System zu kompromittieren. Angreifer nutzen eine erste Schwachstelle, um Zugang zu erlangen, und verwenden dann weitere Lücken, um ihre Privilegien zu erweitern. Professionelle Spyware wie Pegasus verwendet solche komplexen Ketten, um selbst gut geschützte Geräte zu infiltrieren.

Diese Flags lassen sich von Apple verifizieren, wodurch Forschende sofort nach der Validierung eine Benachrichtigung über ihre Belohnung erhalten. Die Auszahlung erfolgt bereits im nächsten Zahlungszyklus, ohne dass die Forschenden auf die Veröffentlichung eines Software-Updates warten müssen. Bisher mussten Sicherheitsforschende oft monatelang warten, bis Apple eine Schwachstelle behoben hatte, bevor sie ihre Belohnung erhielten.

Erweiterte Kategorien ab November

Das aktualisierte Programm tritt im November 2025 in Kraft. Apple erweitert dabei auch die Kategorien: Ein-Klick-Sandbox-Umgehungen in WebKit werden mit bis zu 300.000 US-Dollar belohnt, während drahtlose Proximity-Exploits über beliebige Funkverbindungen bis zu eine Million US-Dollar einbringen können. Eine vollständige Gatekeeper-Umgehung unter macOS wird mit 100.000 US-Dollar entlohnt.

Erfolgreiche Bilanz des Programms

Seit der öffentlichen Einführung des Programms im Jahr 2020 hat Apple über 35 Millionen US-Dollar an mehr als 800 Forschende ausgezahlt. Diese beeindruckende Summe unterstreicht Apples Engagement für die Sicherheit seiner Produkte und die Zusammenarbeit mit der Sicherheitsforschungsgemeinschaft.

Die neue Ausrichtung des Bug-Bounty-Programms zeigt, wie ernst Apple die Bedrohung durch professionelle Spyware nimmt. Mit der Fokussierung auf komplexe Angriffsketten und der deutlichen Erhöhung der Belohnungen möchte das Unternehmen Sicherheitsforschende dazu ermutigen, auch die ausgefeiltesten Angriffsmethoden zu untersuchen und zu melden.

Mehr zu diesen Themen: