Apple braucht externe Hilfe bei der Sicherheit seiner Software

Apple-Sicherheitschef Ivan Krstic hat in einem Pressegespräch am Rande der Konferenz Black Hat USA in Las Vegas ein Prämienprogramm vorgestellt, mit dem Experten für Hinweise auf Sicherheitslücken in Apple-Produkten belohnt werden sollen. Je nach der von der entdeckten Sicherheitslücke ausgehenden Gefahr sind bis zu 200.000 Dollar ausgelobt. Andere Firmen – von Facebook über Google und Microsoft bis Yahoo – unterhalten sogenannte “Bug-Bounty”-Programme schon länger.

Die sind zudem wesentlich umfangreicher. Google hat in dessen Rahmen etwa im vergangenen Jahr 550.000 Dollar alleine an Personen ausgezahlt, die Lücken in Android gefunden haben. Hinzu kommen Prämien für Lücken im Browser Chrome und andere Google-Produkte. Allerdings liegen die maximal im unteren fünfstelligen Bereich. Facebook hatte im Februar Zahlen zu seinem entsprechenden Prämienprogramm veröffentlicht. Demnach wurden seit dessen Start 2011 an rund 800 Personen insgesamt 4,3 Millionen Dollar für Hinweise auf sicherheitsrelevante Probleme ausgezahlt.

Und während bei ihnen quasi jedermann die Möglichkeit hat, das Unternehmen auf Fehler oder Sicherheitslücken in der Software hinzuweisen, schränkt Apple das Recht auf einige Dutzend Spezialisten ein, die zudem noch von ihm dazu eingeladen werden. Meldungen nicht registrierter Forscher erwägt das Unternehmen laut Krstic trotzdem zu honorieren.

Ob die ausgelobte Summe für diese Spezialisten attraktiv ist, kann getrost angezweifelt werden. Schon 2014 konnten Entdecker von Sicherheitslücken Symantec zufolge damit auf dem „freien Markt“ – also in Untergrundforen oder beim Verkauf an Geheimdienste – mit Beträgen zwischen 50.000 und 100.000 Dollar rechnen. Seitdem sind die Preise noch einmal erheblich gestiegen. Auch bei diversen seriösen Hackerwettbewerben haben sich die Preisgelder seitdem erheblich erhöht. Das gilt insbesondere für gefährliche und voraussichtlich über einen längeren Zeitraum ausnutzbare Lücken in weitverbreiteten Produkten.

Da die Transaktionen abseits der offiziellen Hackerwettbewerbe in der Regel im Verborgenen stattfinden ist kaum nachvollziehbar, welche Summen dabei den Besitzer wechseln. Für Aufsehen sorgte jedoch ein im Herbst vergangenen Jahres ausgeschriebener Preis des Unternehmens Zerodium in Höhe von bis zu einer Millionen Dollar für eine Lücke in iOS 9. Zerodium ist ein weiteres Unternehmen von Chaouki Bekrar, der vor allem als Gründer von Vupen bekannt wurde. Das ist äußerst umstritten, da es von ihm aufgedeckte Probleme nicht immer den Herstellern meldet, sondern auch an Geheimdienste verkauft.

Voraussetzung für die höchstmögliche Prämie war, dass der Angriff aus der Ferne durchführbar ist. Außerdem wurde verlangt, dass die Lücke vom Entdecker nicht an Apple gemeldet oder anderweitig öffentlich gemacht wird. Im November wurde dann an ein anonymes Team die ausgelobte Prämie angeblich tatsächlich ausgezahlt.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.