macOS, tvOS und watchOS qualifiziert
Bis zu 1 Mio. Dollar: Apple präsentiert neue Bug Bounty-Prämien
Dass Apple die diesjährige Black Hat-Konferenz für Computersicherheit in Las Vegas nutzen würde, um das 2016 eingeführte Bug Bounty-Programm auch auf den Mac auszuweiten, deutete sich bereits im Vorfeld der jetzt kommunizierten Änderungen an.
Here’s Apple’s payouts for bug bounties and their corresponding categories.
Maximum payout is now 1 million. pic.twitter.com/S2y25AScLa
— Lorenzo FB @ Black Hat (@lorenzofb) August 8, 2019
Während Apples Security-Team bislang ausschließlich Sicherheitslücken vergütete, wenn diese im mobilen iOS-Betriebssystem ausgemacht wurden, sind zukünftig sicherheitsrelevante Fehlersichtungen auf allen Apple-Plattformen (also auch macOS, watchOS und tvOS) für einen Geldpreis qualifiziert.
Dieser kann, je nach Art der gefundenen Sicherheitslücke, jetzt bis zu einer Million US-Dollar betragen.
Zudem wird Apple ausgewählten IT-Forensikern iOS-Geräte mit SSH-Zugang zur Verfügung stellen, die dabei helfen sollen das Gerät auf vorhandene Schwachstellen abzuklopfen. Für den Zugriff auf das Dateisystem waren die Forscher bislang stets auf einen Jailbreak angewiesen und konnte so häufig nur ältere Versionen des iPhone-Betriebssystems begutachten.
Apple war im Februar in die Kritik geraten, nachdem ein 14-jähriger eine massive Sicherheitslücke im Videochat FaceTime ausmachte, Cupertino selbst auf die Problemberichte aber erst so spät reagierte, dass sich Apple-Chef Tim Cook für die Trägheit entschuldigte und Besserung versprach.
Apple Bug Bounty: Die neuen Auszahl-Beträge
@iFUN
Dieses Jahr gab es den „Finder“ mit der Sicherheitslücke im Schlüsselbund, der sich ohne Zutun des Anwenders (Eingabe Passwort) auslesen ließ.
Das hatte er in einem YouTube-Video demonstriert, aber bis auf Oberflächen-Gewusel gab es keinen „proof“.
Er forderte von Apple eine Belohnung zur Nennung der „vermeintlichen“ Sicherheitslücke und kritisierte damit offen Apples Bug Bounty Programm, das eben nicht existiert.
Habt ihr nochmal den Link dazu?
Mich interessiert jetzt, ob der Dude nun fürstlich entlohnt wird/wurde und ob er vielleicht doch wirklich der Zündfunken für das jetzige Umdenken seitens Apple war.
Oder ob die Sicherheitslücke einfach nicht existiert (hatte)…
Meinst du den hier?
https://www.ifun.de/gatekeeper-schwachstelle-im-video-apple-trotz-hinweisen-tatenlos-138177/
Ah, das hier war es:
https://www.ifun.de/schwachstelle-im-video-macos-schluesselbund-gibt-passwoerter-preis-133327/
Ich habe schon mehrfach Fehler über Apples Bug Tracker gemeldet und noch nie ein Feedback bekommen. OK zugegeben, ich habe noch keine Sicherheitskritischen Fehler gefunden mit denen die NSA oder der GRU alle iPhones in perfekte Wanzen umwandeln könnte… Klar also, dass die von mir gemeldeten Fehler keine irrsinnig hohe Priorität haben. Aber auch im Gespräch mit Entwicklern die z.B. über alle Versionen weiter bestehende Fehler in Xcode, etc. melden ist das Fazit ähnlich: Apple ist eine schwarzes Loch und ob eine Fehlermeldung tatsächlich bearbeitet wird oder einfach nur im Papierkorb landet erfährt man nicht… Wirklich Spaß macht es also nicht Apple mit Feedback zu versorgen…
Gut geschrieben. Mir geht es genau so
+1
Du hast es ziemlich beschrieben.
Da der Konzern oft bis zu einem Jahr braucht um sicherheitsrelevante Fehler zu beheben, die sogar erst von deren Entdeckern zwangsweise veröffentlicht werden müssen um überhaupt eine Reaktion zu erreichen, ist das ganze so oder so ein ziemlich fragwürdiges Spiel wenn nicht gar eine ziemlich miese Publicityshow.
Nach über 10 Jahren macOS bringt man den Finder heute noch immer mit den gleichen Tricks wie vor 10 Jahren dazu das er sich aufhängt. Das zeugt von einem sehr hohem Interesse am eigenen fehlerfreien Produkt oder an Selbstüberschätzung.
Vermutlich darf man sich das aussuchen.
PS: Man sollte das Wort „Fehler“ in seinen Mitteilungen vermeiden.
Das ist ein verbotenes nicht existierendes Wort bei Apple
Die hätten auch eine Milliarde bieten können. Bei Apple gibt es keine Fehler. Sonst wäre das ja Android oder Windows.
Sag das nicht, jeder macht Fehler.
Ich hab’s mal durch rumspielen mit Siri am iPod eines Freundes geschafft, ihn zu entsperren ohne den Code zu kennen. Das ganze ist auchnoch direkt an der Genius Bar passiert, der Mitarbeiter hat dann etwas dümmlich geschaut (die beiden waren am reden, ich hab parallel dazu am auf dem Tisch liegenden iPod gespielt).
https://www.spiegel.de/netzwelt/gadgets/apple-hacker-patrick-wardle-ein-mac-ist-leicht-zu-hacken-a-1281361.html
genau