iOS-Fehler sind zu wertvoll: Apples Kopfgeld nicht hoch genug

Holger Eilhard
1

Im August vergangenen Jahres kündigte Apple an, dass man für das Finden einer Sicherheitslücke bis zu 200.000 US-Dollar bezahlen will. Wie sich nun jedoch herausstellt, ist das von Apple gestartete „Kopfgeld“-Programm für Sicherheitslücken anscheinend nicht interessant genug.

iOS-Fehler sind zu wertvoll: Apples Kopfgeld nicht hoch genug

Wie Motherboard nach Gesprächen mit mehreren Sicherheitsexperten berichtet, gibt es derzeit keine öffentlichen Hinweise darauf, dass das Programm in Anspruch genommen wurde. Laut den Forschern gibt es hierfür mehrere Gründe.

25.915
iPad Pro 10,5 von 2017 im Test

Apple zahlt zu wenig für das Finden von Sicherheitslücken

Einer der Gründe ist demnach, dass Apples Kopfgeld im Vergleich zu anderen Angeboten schlicht zu gering ausfällt. Sicherheitsexperten geben ihre Fehler daher lieber an andere Unternehmen oder Sicherheitsbehörden weiter, die etwa für einen Jailbreak bis zu 1,5 Millionen US-Dollar zahlen.

Gleichzeitig ist Apples Software so sicher, dass die Forscher ungern ihre Lücken aufgeben wollen, die möglicherweise Türen zu weiteren Fehlern in iOS oder macOS öffnen könnten. Die Experten stellen sich die Frage, warum sie zum Beispiel 50.000 Dollar für kleine Fehler kassieren sollten, wenn diese, möglicherweise in Kombination mit anderen Lücken, in Zukunft deutlich mehr Geld bedeuten könnte.

Die von Apple eingeladenen Forscher haben daher auch beim iPhone-Hersteller aus Kalifornien angefragt, ob sie Geräte mit deaktivierten Sicherheitsfeatures – etwa ohne Sandboxing – erhalten könnten, um das System genauer untersuchen zu können. Dieser Bitte ist man bislang nicht nachgekommen.

Motherboard berichtet weiter, dass Forscher möglicherweise das Programm von Apple in Anspruch genommen und Bugs eingereicht haben. Öffentlich bekannt sind diese Fälle jedoch nicht. Dies ist überraschend, da Apple keine Geheimhaltung der Fehler fordert und die Forscher in der Regel eine öffentliche Anerkennung für ihre Erfolge erhalten wollen.

Apple hatte das Programm im August 2016 bekannt gegeben. Daraufhin wurden einige ausgewählte Sicherheitsexperten eingeladen und im September nach Cupertino geflogen, um sich dort mit Apples Mitarbeitern, darunter angeblich auch Craig Federighi, über ihre Arbeit zu unterhalten.

Apple war das letzte große Unternehmen, dass ein derartiges Programm anbietet. Bei Microsoft, Google oder Facebook ist es bereits seit langem gang und gäbe, für Sicherheitslücken mehrere tausend Dollar zu bezahlen.

Quelle: Motherboard

Weitere Themen: macOS High Sierra 10.13, Apple iOS, WWDC 2017: Liveticker zur Keynote (iOS 11, macOS) hier & jetzt!, APFS: Das neue Dateisystem deines iPhones und Macs, Apple