Bug-Bounty-Programm
Sicherheitslücke gefunden? Apple zahlt zukünftig bis zu $200.000
Während finanzstarke Bug-Bounty-Programme bei den großen Online-Konzernen schon seit Jahren zum Standardrepertoire gehören – Facebook betreibt sein Kopfgeld-Programm für Security-Bugs bereits 2011 – entschied sich Apple bislang gegen die Vergütung gefundener Sicherheitslücken.
Ein Umstand, der in der Vergangenen unter anderem dazu führte, dass sich das FBI die noch offenen Lücken auf dem Schwarzmarkt einkaufen konnte. Ab September soll damit Schluss sein.
Wie Apple jetzt gegenüber dem US-Fachmagazin Techcrunch bekannt gab will das Unternehmen bereits im September ein eigenes Bug-Bounty-Programm starten und das Aufspüren von Sicherheitslücken in iOS und OS X bzw. macOS dann mit bis zu $200.000 belohnen.
Die Apple-Ankündigung auf der BlackHat-Konferenz
Insgesamt will Apple fünf Kategorien einführen, die dafür sorgen sollen, dass Sicherheitslücken nicht mehr zum Bau von Jailbreak-Lösungen genutzt werden, sondern schnell geschlossen werden können.
- Für Sicherheitslücken in der „secure boot firmware“ der eigenen Geräte zahlt Apple bis zu $200.000.
- Sicherheitslücken die die Secure Enclave des iPhones betreffen sind $100.000 wert.
- Wer es schafft schadhaften Code mit „kernel privileges“ auszuführen kann sich $50.000 sichern.
- Ebenfalls $50.000 gibt es für Nutzer die Apples iCloud-Server kompromittieren
- Programmierer, die mit ihrer App aus Apples Sandbox ausbrechen können, dürfen sich über $25.000 freuen.
Für gute Zwecke
Entwickler, die ihre Kopfgeld-Prämien an einen guten Zweck spenden möchten, können die Auszahlung zudem verdoppeln. Sollte das Geld an eine gemeinnützige Organisation gehen, legt Cupertino die gleiche Summe noch mal oben drauf.
Um am Bug-Bounty-Programme teilzunehmen müssen interessierte Programmierer den Fehler im jeweils aktuellen Betriebssystem reproduzieren können und ein proof-of-concept bei Apple einreichen.
Vor allem dass mit dem Spenden klingt echt nach einer starken Aktion
Wird auch Zeit, dass Apple mit dem riesigen Geldberg, auf dem die sitzen, mal was sinnvolles anfängt. Daumen nach oben, für den ersten Schritt in die richtige Richtung!
Guter Schritt.
Gute Aktion. Für alle Seiten!!
was wohl die jailbreak Szene dazu sagen wird ;P
Gute Frage. Und noch besser, wo bekommt Apple dann seine „neuen“ Softwarefeatures her?
Man könnte es auch so sehen:
Lücke finden -> JB bauen bzw an ein JB Team verkaufen/verschenken -> an Apple verkaufen -> JB Public Release
Jedoch müssen die Anwender so klug sein und das richtige iOS behalten und nicht jedes mal updaten.
Dann kann man nur hoffen, dass es Apple auch interessiert wenn man eine Sicherheitslücke meldet.
Bei den Public-Beta Versionen habe ich schon oft Fehler über die App gemeldet, jedoch nie eine Rückmeldung bekommen. Jetzt lasse ich es einfach sein. Sollen die ihre Fehler selber finden.
Ernsthaft? Jetzt bin ich sprachlos.
Ich glaube das Personal und die Zeit wird dafür fehlen. Aber melden ist immer gut und wichtig.
Wieso solltest Du eine Rückmeldung bekommen?
Die Rückmeldung ist wenn in einer Folgeversion der Fehler nicht mehr auftaucht.
Aus Respekt vor dem Kunden?
Ein simples „Danke“ ist schon viel wert.. Manchen aber anscheinend zu viel, so dass es selten bis noe ausgesprochen wird..
Aber sicher, Apple meldet sich bei jedem, der sagen wir mal 1 Mio. Beta-Tester, persönlich für jeden einzelnen gemeldeten Bug. LOL.
Vorstellungen haben manche…tsssss.
Ausserdem haben die Bugs in den Betas rein gar nichts mit diesem Artikel zu tun.
Also für 200.000 € wärs mir das wert
die Sicherheitslücken preis zu geben ☝️
Smileys werden nicht angezeigt … deshalb nun nur schriftlich …
Du musst ein irrationaler Hater sein oder du bist zu jung und musst weiter die Schulbank sehr lange besetzen.
Und dazu ein Bild mit PHP-Code. =D
Sind das nicht unverhältnismäßig hohe Preise?
Nein, die Preise müssen so hoch sein.
Würdest du denn, wenn du eine schwerwiegende Sicherheitslücke kennen würdest, sie für wenig Geld preisgeben, wenn du auf illegalem Wege viel mehr verdienen könntest?
Es gibt Nutzer, die z. b. Bankdaten (inkl. Passwörter) auf dem Computer speichern….
Kriminelle Absichten vorausgesetzt, kann man durch Datenklau sehr viel Geld verdienen.
Daher sind die hohen Prämien meiner Meinung nach gerechtfertigt.
Es soll ja auch ein Anreiz für die Hacker da sein. Meine, bei Google+Co auch schon höhere Belohnungen gesehen zu haben.
Bulls.hit.
Apples Betriebssysteme haben keine Lücken.
Apple beantwortet jede gemeldete und verifizierte Schwachstelle dann mit „Danke für das Melden, wir sind uns der Schwachstelle bereits seit längerem bewusst und arbeiten bereits an einem Fix, also Belohnung gibt es für dich heute leider nix!“
$200k für einen untethered Jailbreak, der auf dem Gerät ausgeführt werden kann, klingt für mich ein bisschen wenig. Ich schätze auf dem Schwarzmarkt bekommt man für so eine Sicherheitslücke etwas mehr.
Es geht auch nicht immer darum den letzten Cent auszupressen. Ist doch was gutes wenn man dazu beitragen kann das auch das eigene Gerät sicherer wird.
Naja, wenn man da was versucht, droht doch einem eine Anzeige wegen Datenklau ect. !
Wie viel erhalte ich wenn ich einen Trick habe, der bspw eine Tastenkombination entsprechend das iPhone entsperrt?