Apple erweitert Belohnungs-Programm für gemeldete Sicherheitslücken

Schon länger bietet Apple ein sogenanntes «Bug-Bounty-Programm» an, bei welchem Sicherheitsforscher auf Einladung hin Schwachstellen in iOS melden und von Apple unter Umständen monetär entlöhnt wurden. Nach vieler Kritik an dem sehr eingeschränkten Programm hat Apple dies vor den Weihnachtstagen nun geöffnet. Apples Bug-Bounty-Programm steht nun als «Apple Security Bounty» jedem offen und umfasst alle Betriebssysteme des Unternehmens und auch iCloud.

Je nach Schwere der gemeldeten Sicherheitslücke in iOS, iPadOS, macOS, tvOS, watchOS und iCloud zahlt Apple bis zu 1.5 Millionen US-Dollar. Auch bestimmte Beta-Versionen sollen mit dem Bug-Bounty-Programm berücksichtigt werden.

Wer beispielsweise eine Umgehung des Sperrbildschirms mit physischem Zugriff auf das Gerät an Apple meldet, kann bis zu 100’000 US-Dollar verdienen. Sollte man dabei auch die Extrahierung von Nutzerdaten möglich sein, können bis zu 250’000 US-Dollar ausgezahlt werden. Für die Höchststumme muss ein entfernter Angreifer in der Lage sein, ohne jegliche Nutzerinteraktion ein Gerät der jeweils neuesten Generation komplett zu übernehmen. Für ausgewählte Betas und Schwachstellen, die in früheren Versionen schon einmal beseitigt worden sind, will Apple einen Bonus von bis zu 50 Prozent auszahlen. Sollte der Melder die Auszahlung von Apple an ausgewählte Einrichtungen spenden, verdoppelt Apple den Betrag. Eine Übersicht über die möglichen Auszahlungen gibt es auf einer neuen Seiten im Entwickler-Bereich von Apples Webseite.

Vom Bounty berücksichtigt werden nur Schwachstellen, die Apple unbekannt sind. Weiter muss die Lücke im Detail beschrieben und anhand eines Exploits demonstriert werden können. Der Melder darf die Schwachstelle zudem nicht öffentlich machen, bevor Apple ein Patch dafür veröffentlicht hat.

Von Stefan Rechsteiner
Veröffentlicht am