Erfolgloses "Bug Bounty"-Programm
Apple zu knausrig: Sicherheitslücken verkaufen sich besser unter der Hand
Seit knapp einem Jahr bietet Apple im Rahmen eines sogenannten „Bug Bounty“-Programms Belohnungen für das Melden von bislang unbekannten Sicherheitslücken. Mit Blick auf die ersten Erfahrungen diesbezüglich kritisieren Sicherheitsforscher nun, dass das Unternehmen nicht bereit ist, Einreichungen angemessen zu honorieren. Wer auf das Geld aus sei, verkaufe die gefundenen Programmierfehler besser anderweitig.
Mit dem im Rahmen solcher Programme geschaffenen finanziellen Anreiz wollen Unternehmen dem Handel mit Sicherheitslücken das Wasser abgraben. Dergleichen ist mittlerweile Standard und wird von Firmen wie Facebook schon deutlich länger gepflegt. In der Folge haben sich etliche Hacker und Sicherheitsforscher auch auf die in der Regel lohnenswerte Jagd nach entsprechenden Lücken spezialisiert. Mit Blick auf Apple ticken die Uhren allerdings anders. Einem Bericht des Onlinemagazins Motherboard zufolge würde der iPhone-Hersteller auch das Aufspüren von hochgradigen Sicherheitslücken nur mit vergleichsweise geringen Prämien vergüten. In der Folge würden die Finder dieser Programmierfehler ihr Wissen oft für sich selbst behalten, teils eben auch, um auf lukrativere Angebote von Regierungsbehörden oder gar Malware-Entwicklern zu warten.
Offiziell bietet Apple für das Auffinden von Sicherheitslücken zwischen 25.000 und 200.000 Dollar. Das klingt auf den ersten Blick viel, ist aber kein Vergleich zu den anderweitig erzielbaren Preisen, hier ist von bis zu 1,5 Millionen Dollar beispielsweise für einen Jailbreak die Rede.
In the private, gray market, where companies such as Zerodium buy exploits from researchers and sell them to their customers, a method comprised of multiple bugs that can jailbreak the iPhone is valued at $1.5 million. Another firm, Exodus Intelligence, offers up to $500,000 for similar iOS exploits.
Wenn das eigene Angebot ernst genommen werde soll, muss Apple Sicherheitsforschern zufolge mit diesen Marktpreisen mithalten. Die Tatsache, dass bislang nur wenige Fehler gemeldet wurden sei weniger ein Anzeichen dafür, dass iOS extrem sicher ist, sondern eher auf die geringe Attraktivität von Apples Bug-Bounty-Programm zurückzuführen.
…was dann wiederum, angesichts der Preisliste des Bug-Bounty-Programms, darauf schließen lässt, dass Apple davon ausgeht, im schlimmsten Fall sogar weiß, dass sie viele Sicherheitslücken haben.
Schwachsinn. Gerade die mit der meisten Kohle haben Angst diese auszugeben um die eigenen Produkte besser zu machen?
Überleg nochmal.
Jetzt wissen die, die auf einen Jailbreak warten warum es keinen mehr gibt…
Ich hatte vor Tagen schon mal geschrieben, dass ohne den Jailbreak die Medienaufmerksamkeit noch deutlich weniger wird und somit wird es keinen mehr auffallen, dass Lücken genutzt wurden. Dies hat auch wieder zur Folge, dass weniger Geld dafür übrig haben wird, Lücken zu finden und auch so penibel nachzubessern.
Ich denke, dass die Jailbreak Szene nach wie vor wichtig ist, allein um dazu zu animieren, weiter dagegen vorzugehen.
@DubbleDWhy: Richtig! Ist letztlich nur eine spezielle Ausprägung des Konkurrenzprinzips – ich möchte mir nicht ausmalen, was Apple treiben würde, wenn es Samsung & Co nicht gäbe!
Aus dem gleichen Grund bin ich schon lange der Meinung, dass der schlimmste Feind eines Apple-KUNDEN ein kritikgehemmter Apple-Fan ist – Stichwort: „Wenn dir bei Apple dies und jenes nicht passt, dann geh‘ doch rüber ins Android-/Windows-LAGER“ (!)
Die haben doch nix an Geld.