Apple erhöht Kopfgelder: Nicht nur iOS-Jäger dürfen bald absahnen

Holger Eilhard 1

Als Teil eines neuen Programms, an dem ausschließlich eingeladene Experten teilnehmen dürfen, will Apple angeblich in Zukunft spezielle iPhones verteilen, die zur Sicherheit des Apple-Smartphones beitragen sollen.

Update 9. August, 16:25 Uhr:
Wie ursprünglich vermutet, hat Ivan Krstić von Apple im Rahmen seines Vortrags bei der Black Hat USA 2019 in Las Vegas diverse Neuerungen am Sicherheitsprogramm angekündigt. Dies umfasst wie erwartet auch die speziell vorbereiteten iPhones, die Apple an ausgewählte Forscher verteilen will, damit diese leichter etwaige Sicherheitslücken im Apple-Smartphone und dem dazugehörigen Betriebssystem finden können. Die Sicherheitsforscher, die Apple auswählt und ab dem kommenden Jahr Zugriff auf das „iOS Security Research Device program“ haben, dürfen unter anderem mit Hilfe eines ssh-Zugangs und einer root-Shell auf die Jagd nach Lücken gehen.

Die Neuerungen betreffen aber nicht nur das iPhone. Wie erwartet zahlt Apple in Zukunft nicht mehr nur Preisgelder für Sicherheitslücken in iOS, sondern auch für iCloud, tvOS, iPadOS, watchOS und natürlich macOS.

Die Summen reichen nun außerdem von beispielsweise 100.000 US-Dollar für Lücken, die unautorisierten Zugriff auf iCloud-Daten auf Apples Servern ermöglichen, bis hin zu einer Million Dollar für eine Lücke, die ohne Aktionen eines Anwenders vollen Zugriff auf das Gerät erlaubt. Findet ein Forscher eine Lücke in einer Beta-Version und meldet diese bei Apple, gibt es noch mal 50 Prozent oben drauf. Die Änderungen am Bug-Bounty-Programm sollen noch im Laufe dieses Jahres aktiv werden.

Ursprünglicher Artikel vom 6. August:

Offene iPhones sollen Sicherheitsexperten das Finden von Sicherheitslücken erleichtern

Bereits im Jahr 2016 kündigte Apple im Rahmen der Sicherheitskonferenz Black Hat an, dass man – wie viele andere Hersteller auch – ein Bug-Bounty-Programm starten werde. Der iPhone-Hersteller zahlt hierbei Summen in Höhe von bis 200.000 US-Dollar für Sicherheitslücken, die Entwickler und Forscher in iOS finden und dem Unternehmen mitteilen. Mit diesem finanziellen Anreiz will man verhindern, dass diese Lücken im Schwarzmarkt angeboten werden und damit in die falschen Hände gelangen.

Wie Thomas Brewster von Forbes nun berichtet, will das Unternehmen die Sicherheitskonferenz in Las Vegas erneut nutzen, um einige Neuerungen anzukündigen. Die Black Hat USA läuft bereits seit dem 3. August und endet am 8. August 2019. Am letzten Tag wird dann auch Apples Ivan Krstić, Head of Apple Security Engineering and Architecture, in einer 50 Minuten langen Session Details zu den Sicherheitsfunktionen von macOS Catalina, iOS 13 und Apples Hardware nennen.

Laut Forbes soll zu den Ankündigungen aber unter anderem auch spezielle iPhone-Hardware gehören, die man eingeladenen Sicherheitsexperten übergeben will. Diese sollen es den Forschern beispielsweise ermöglichen, leichteren Zugriff auf die ansonsten geschützte Software zu haben. Die Geräte seien in vielen Details vergleichbar mit den iPhones, welche auch Apples Team intern verwendet. Dass man ein „entschlüsseln“ der iPhone-Firmware ermöglichen werde, sei im Gegensatz zu der Apple-internen Hardware aber unwahrscheinlich. Regulär kaufen wird man diese iPhones natürlich nicht können, sie dienen ausschließlich den Sicherheitsexperten als Werkzeug.

iPadOS 13 bringt nicht nur neue Sicherheitsfeatures mit. Was das neue Betriebssystem sonst noch kann, seht ihr hier:

iPadOS 13: 7 Top-Funktionen im Video.

Bug-Bounty-Programm auch für macOS

Eine der wichtigsten Kritikpunkte an Apples Bug-Bounty-Programm war, dass es ausschließlich für Lücken in iOS gilt. Findet ein Entwickler einen Fehler im Sicherheitssystem von macOS und meldet diesen beim Hersteller in Cupertino, geht er oder sie mit leeren Händen nach Hause. Viele Forscher fordern daher, dass Apple das Programm auch auf den Mac ausweitet.

Laut Forbes will Apple auch genau dies im Rahmen der Black-Hat-Konferenz ankündigen. Es ist aber bislang unklar, ob die Summen denen des bereits existierenden iOS-Programms entsprechen werden. Erst im vergangenen Februar sorgte eine Lücke im macOS-Schlüsselbund für Aufsehen. Der Forscher meldete den Fehler aufgrund des fehlenden Bug-Bounty-Programms erst nach einigen Wochen bei Apple.

Hat dir dieser Artikel gefallen? Schreib es uns in die Kommentare oder teile den Artikel. Wir freuen uns auf deine Meinung - und natürlich darfst du uns gerne auf Facebook oder Twitter folgen.

Zu den Kommentaren

Kommentare zu dieser News

* Werbung