Apple ist künftig bereit, Sicherheitsforscher dafür zu bezahlen, dass jene dem iPhone-Konzern Schwachstellen oder Fehler im mobilen Betriebssystem iOS melden. Bis zu 200.000 US-Dollar pro Anzeige können auf diese Weise fließen. In der Vergangenheit hatten sich die Kalifornier einem solchen Bug Bounty Programm verwehrt, weil sie „nicht zum Wettrüsten beim Bezahlen von Bugs beitragen“ wollten, wie es offiziell hieß. Konkurrenten wie Facebook oder Google unterhalten längst ein Bug Bounty Programm.
Apple erklärt sein Umdenken damit, dass es immer schwieriger werde, Fehler zu finden. Tatsächlich dürfte der Konzern aber auch genug davon haben, dass fündig gewordene Sicherheitsforscher die Bugs in den Medien präsentieren oder – noch schlimmer – an Dritte verkaufen. Vor rund einem Jahr lobte das Start-Up Zerodium eine Million US-Dollar als Belohnung aus, um Informationen über eine Jailbreak-Schwachstelle zu gewinnen. Das FBI bezahlte Dritte, um ein iPhone von einem Terroristen zu knacken.
Apples Bug Bounty Programm im Detail
200.000 US-Dollar können Sicherheitsforscher dafür erhalten, dass sie Apple auf einen Bug im Secure-Boot-Modus hinweisen. Beizulegen ist, wie auch bei allen anderen gefundenen Fehlern, für den der Apfel-Konzern zahlen soll, ein „Proof of Concept“. 100.000 Dollar erhält der, der Apple auf einen Fehler in der „Secure Enclave“ in der A-Chip-Reihe hinweist. 50.000 USD erhalten Personen, die sich Zugriff auf die iCloud verschaffen können oder denen es gelingt, einen Schadcode mit Kernel-Rechnern auszuführen. Eine solche Sicherheitslücke wurde geradeerst durch iOS 9.3.4 geschlossen. Wer es schafft, aus Apples Sandbox auszubrechen, darf sich immerhin noch über 25.000 Dollar Belohnung freuen.
Anfangs möchte Apple offenbar nur mit einem kleinen Kreis von Sicherheitsforschern zusammenarbeiten. Jener soll allerdings im Laufe der Zeit anwachsen. Neben dem Proof-of-Concept, das jeweils auf die aktuelle Software- und Hardware-Generation der fraglichen Geräte zugeschnitten sein muss, dürfen die Sicherheitsforscher die Bugs zudem nicht enthüllen, bis Apple die Chance hatte, die Lücke zu schließen. Der letzte Teil ist überraschend: Bei vielen Bug Bounty Programmen dürfen die Forscher ihre Funde überhaupt nicht offenbaren.