Apple Apple startet Bug Bounty Program auf der Black Hat USA 2016

Apple hat endlich ein Fehlerkostenprogramm.

Der Leiter der Abteilung Sicherheitstechnik und Architektur des Unternehmens, Ivan Krstic, kündigte das Programm zum Einladen während eines seltenen öffentlichen Auftritts auf der Black Hat USA 2016 in Las Vegas in der Nacht des 4. August an.

Krstic, dessen Team für die End-to-End-Sicherheit aller Apple-Produkte verantwortlich ist, sagte, das Unternehmen werde bis zu 200.000 US-Dollar für Fehler zahlen, die während seiner Präsentation am Donnerstag mit dem Titel „Hinter den Kulissen der iOS-Sicherheit“ festgestellt wurden.

Die Kompensation hängt von Hack ab: Der Zugriff auf Sandbox-App-Daten ist bis zu 25.000 US-Dollar wert, während durch die Kompromittierung sicherer Boot-Firmware-Komponenten ein Maximum von 200.000 US-Dollar erzielt werden kann.

Hacker zu belohnen, die Sicherheitslücken offenbaren, anstatt sie heimlich auszunutzen, wurden immer häufiger - jeder von Uber bis zum Pentagon tut dies.

Die Verlagerung von Apple auf den guten Willen der Forscher hin zu einer Belohnung für die Offenlegung von Fehlern wird wahrscheinlich durch den Hack eines iPhone 5c motiviert, der mit dem San Bernardino-Shooting 2015 verbunden ist. Die Öffentlichkeit weiß wenig über den Hack und darüber, ob er noch verwendet werden kann in ein iPhone.

Black Hat-Teilnehmer Robert McCarthy Tweeted:

Publikum: "Wie stark hat das FBI-Problem Ihre Position beeinflusst?"

Ivan Krstic: „Ich bin ein Ingenieur hier, um technische Fragen zu beantworten“

Selbst das FBI, das einen noch unbekannten Dritten dafür bezahlt hat, das iPhone zu hacken, als Apple sich weigerte, in diesem Fall zu helfen, weiß nicht, wie das Gerät gefährdet wurde. Es ist vielleicht nicht einmal bekannt, wie viel der Hack wirklich gekostet hat, da die Behauptung von FBI-Direktor James Comey, dass er rund 1,3 Millionen US-Dollar kostete, in späteren Berichten widerlegt wurde, die angeblich weniger als 1 Million US-Dollar kosteten.

Diese Mehrdeutigkeit ist noch besorgniserregender, da das FBI auf dem Gerät nichts gefunden hat. Dies bedeutet, dass eine der weltweit führenden Strafverfolgungsbehörden einer unbekannten Firma einen unbekannten Betrag zur Verfügung gestellt hat, um einen unbekannten Hack auszuführen - und damit der Beweis erbracht wurde, dass alle, die ein iPhone 5c besitzen, gefährdet sind - ohne dafür eine Gegenleistung zu erhalten.

Ein Bug Bounty-Programm könnte es Apple ermöglichen, einige dieser Variablen zu beseitigen und die Sicherheit seiner Produkte zu erhöhen. Es ist jedoch seltsam, dass das Programm mit einigen Dutzend Forschern beginnt und nur auf Einladung erweitert wird. Ein Bug-Bounty-Programm hat in der Regel den Zweck, dass möglichst viele Personen verschiedene Sicherheitsfunktionen nutzen, um zu sehen, was sie umgehen können.

Apple plant angeblich, im Laufe der Zeit mehr Menschen zu dem Programm einzuladen und jeden, der eine schwerwiegende Verwundbarkeit durch andere Kanäle meldet, "einzuladen". Momentan scheint es jedoch so, als ob Apple nur die Zehen in den Bug-Kopfgeldpool taucht. Das ist typisch für das Unternehmen, das oft zurückhaltend ist, aber für jeden, der so schnell wie möglich um die Belohnungen wetteifern wollte, wahrscheinlich entmutigend ist.

Dennoch ist dies für Apple ein unverkennbarer Fortschritt. So war Krstic überhaupt auf einer Veranstaltung wie Black Hat USA aufgetreten. In Kombination mit anderen Änderungen, wie der Entscheidung, den iOS 10-Kernel nicht zu verschlüsseln, scheint das Erbe der San Bernardino-Episode ein Apple zu sein, der bereit ist, aus den Schatten zu treten, sodass die vielen Benutzer, die seine Produkte verwenden, ein wenig sicherer werden.