Apple startet Bug Bounty Programm im September, verdoppelt Belohnung bei Spende

Das Auffinden von Sicherheitslücken, nicht immer ist dies eine leichte Aufgabe, in vielen Fällen für die Ersteller von Software sogar unmöglich. Aus diesem Grund gibt es sogenannte Bug Bounty Programme. Wird eine Lücke entdeckt, gibt es einen Finderlohn, die Höhe fällt meist nach Umfang der Lücke und nach Bereitstellung der Details aus. Einige große Firmen wie beispielsweise Facebook haben eigene Bug Bounty Programme, bei Google wiederum läuft es über Project Zero. Nun steigt auch Apple in den Ring der zahlenden Unternehmen ein, aber wieder einmal anders als man denken würde.

Apple wird es langsam angehen lassen mit dem Programm. Eingeladen sind Sicherheitsforscher, die Belohnungen bis zu 200000 Dollar einheimsen können. Während die Teilnahme eigentlich nur auf Einladung erfolgt, kann dennoch jeder Fehler einreichen. Apple geht den Einladungsweg aus einem recht einfachen Grund. Öffnet man so ein Programm komplett, erhält man automatisch jede Menge Feedback. Feedback, das nicht immer nützlich ist, also Lücken oder Fehler, die keine Priorität haben.

Um dies zu umgehen – Apple wurde hier von einer anderen Firma beraten, von welcher ist allerdings unklar – versucht Apple es mit kontrolliertem Zugang zum Programm. Das gefällt nicht allen, ist aber wohl dennoch besser als gar kein solches Programm anzubieten.

Interessant ist übrigens auch die Auszahlung der Belohnungen. Entscheidet sich der Sicherheitsforscher für eine Spende, wird Apple die Belohnung verdoppeln – vorausgesetzt Apple ist mit der Wahl der empfangenden Einrichtung einverstanden.

Folgende Belohnungen können Entdecker von Lücken für sich beanspruchen, wenn das Bug Bounty Programm im September startet:

• Vulnerabilities in secure boot firmware components: Up to $200,000
• Vulnerabilities that allow extraction of confidential material from Secure Enclave: Up to $100,000
• Executions of arbitrary or malicious code with kernel privileges: Up to $50,000
• Access to iCloud account data on Apple servers: Up to $50,000
• Access from a sandboxed process to user data outside the sandbox: Up to $25,000

Lohnen wird sich das Programm wohl auf jeden Fall. Es ist bisher kein solches Programm bekannt, das nicht für die Aufdeckung neuer Fehler sorgte. Und es zeigt eine weitere Öffnung Apples. Das passt auch gut zum Sicherheitskonzept. Apple möchte dem Nutzer das sicherste Gesamtpaket auf dem Markt bieten, ist man als Unternehmen nicht mehr selbst in der Lage, alle Fehler zu finden, muss man auf Forscher von außen zugreifen. Je komplexer die Systeme werden, desto schwieriger wird das Ausmerzen aller Lücken auch.

Die Höhe der Belohnung spielt dabei aber offenbar eine untergeordnete Rolle. Entdeckt man sicherheitskritische Lücken, kann man diese auch zu einem Vielfachen der Belohnung an staatliche Einrichtungen oder auf dem Schwarzmarkt verkaufen. Wohl aber bringt es eine Menge Reputation, wenn man kritische Lücken findet und diese dann auch an das Unternehmen gibt, das betroffen ist. Wir werden ab Herbst sehen, wie sich das Programm auswirken wird.

(via TechCrunch, Reuters)