Apple hat eine deutliche Erhöhung seiner Prämien für das Auffinden von Sicherheitslücken angekündigt. Die maximale Auszahlung für besonders gefährliche Exploit-Ketten steigt auf 2 Millionen US-Dollar. Inklusive Boni können Sicherheitsforscher nun eine Gesamtsumme von bis zu 5 Millionen US-Dollar erhalten. Diese Maßnahme ist eine direkte Reaktion auf den wachsenden Markt für kommerzielle Spyware.
Wichtige Fakten
- Die maximale Standardprämie für kritische Sicherheitslücken wurde auf 2 Millionen US-Dollar verdoppelt.
- Durch spezielle Boni, etwa für das Umgehen des Lockdown-Modus, kann die Gesamtauszahlung auf 5 Millionen US-Dollar ansteigen.
- Die Ankündigung erfolgte durch Ivan Krstić, Apples Vizepräsident für Sicherheit, auf der Hexacon-Konferenz in Paris.
- Das Programm wird um neue Kategorien für Browser- und Funk-Exploits erweitert, um Forscher gezielt zu fördern.
Apple verstärkt Kampf gegen kommerzielle Spyware
Apple hat auf der Sicherheitkonferenz Hexacon in Paris eine neue Stufe seines Bug-Bounty-Programms vorgestellt. Ivan Krstić, Vizepräsident für Security Engineering and Architecture bei Apple, gab bekannt, dass das Unternehmen die maximale Prämie für das Aufdecken von kritischen Exploit-Ketten auf 2 Millionen US-Dollar anhebt. Bisher lag die Obergrenze bei 1 Million US-Dollar.
Diese Erhöhung ist Teil einer umfassenderen Strategie, um den Anreiz für Sicherheitsforscher zu steigern, schwerwiegende Schwachstellen direkt an Apple zu melden, anstatt sie auf dem Schwarzmarkt zu verkaufen. Der Markt für kommerzielle Spyware, die von staatlichen und nichtstaatlichen Akteuren zur Überwachung eingesetzt wird, ist in den letzten Jahren stark gewachsen.
„Wir sind bereit, hier viele Millionen Dollar zu zahlen, und das hat einen Grund“, erklärte Krstić gegenüber WIRED. „Wir wollen sicherstellen, dass Forscher, die über die Fähigkeiten und den Aufwand verfügen, die schwierigsten Probleme zu lösen, eine enorme Belohnung erhalten können.“
Neues Bonussystem erhöht potenzielle Prämien
Neben der Erhöhung der Basisprämie hat Apple ein neues Bonussystem eingeführt, das die Gesamtauszahlung erheblich steigern kann. Forscher, deren Exploits in der Lage sind, den besonders sicheren Lockdown-Modus von Apple zu umgehen, erhalten zusätzliche Zahlungen. Weitere Boni gibt es für das Entdecken von Schwachstellen in Beta-Versionen von Apples Software.
Durch die Kombination dieser Boni kann die maximale Prämie für eine einzelne, besonders schwerwiegende Sicherheitslücke auf bis zu 5 Millionen US-Dollar ansteigen. Diese Änderungen sollen bereits im nächsten Monat in Kraft treten.
Hintergrund: Apples Bug-Bounty-Programm
Apples Bug-Bounty-Programm wurde 2016 mit einer maximalen Prämie von 200.000 US-Dollar ins Leben gerufen und war zunächst nur für ausgewählte Forscher zugänglich. Im Jahr 2019 wurde die maximale Auszahlung auf 1 Million US-Dollar erhöht. Seit 2020 steht das Programm allen Sicherheitsforschern offen. Laut Unternehmensangaben wurden seitdem mehr als 35 Millionen US-Dollar an über 800 Forscher ausgezahlt.
Erweiterung des Programms und neue Werkzeuge
Die finanzielle Aufwertung ist nicht die einzige Neuerung. Apple erweitert auch die Kategorien von Schwachstellen, die für Prämien qualifiziert sind. Dazu gehören nun auch bestimmte „One-Click“-Exploits in der Browser-Infrastruktur WebKit sowie drahtlose Proximity-Exploits, die über beliebige Funktechnologien ausgeführt werden.
Zusätzlich führt Apple ein neues System namens „Target Flags“ ein. Dieses Konzept, das an „Capture the Flag“-Wettbewerbe in der Hacking-Szene angelehnt ist, soll Forschern helfen, die Funktionsfähigkeit ihrer entdeckten Exploits schnell und eindeutig in einer realen Testumgebung zu demonstrieren.
Apple in Zahlen
Weltweit sind nach Angaben von Apple mehr als 2,35 Milliarden Geräte des Unternehmens aktiv. Jedes dieser Geräte ist ein potenzielles Ziel für Angreifer, was die Bedeutung robuster Sicherheitsmaßnahmen unterstreicht. Obwohl Auszahlungen in Millionenhöhe selten sind, bestätigte Krstić, dass in den letzten Jahren bereits mehrfach Prämien in Höhe von 500.000 US-Dollar vergeben wurden.
Teil einer langfristigen Sicherheitsstrategie
Die Anpassungen am Bug-Bounty-Programm sind nur ein Baustein in Apples langfristiger Sicherheitsstrategie. Das Unternehmen investiert kontinuierlich in die Entwicklung neuer Schutzmechanismen, um die Ausnutzung von Schwachstellen von vornherein zu verhindern.
Ein Beispiel dafür ist die Funktion „Memory Integrity Enforcement“, die mit der iPhone-17-Reihe eingeführt wurde. Nach mehr als fünfjähriger Entwicklungszeit zielt diese Technologie darauf ab, die am häufigsten ausgenutzte Klasse von iOS-Fehlern zu neutralisieren. Sie soll vor allem besonders gefährdete Personengruppen wie Aktivisten, Journalisten und Politiker schützen, erhöht aber gleichzeitig die Sicherheit für alle Nutzer neuer Geräte.
Soziale Verantwortung und Schutz von Risikogruppen
Krstić betonte die moralische Verpflichtung des Unternehmens, Nutzer zu schützen, die gezielten digitalen Angriffen ausgesetzt sind. „Man könnte sagen, das sei ein sehr großer Aufwand, um nur eine sehr kleine Anzahl von Nutzern zu schützen, die von kommerzieller Spyware angegriffen werden“, so Krstić. „Aber es gibt eine unbestreitbare Erfolgsbilanz, die von Journalisten, Tech-Unternehmen und zivilgesellschaftlichen Organisationen beschrieben wird, dass diese Technologien ständig missbraucht werden.“
Er fügte hinzu, dass die Arbeit zum Schutz dieser kleinen Gruppe letztendlich die Sicherheit für alle Nutzer verbessert. Als Teil dieses Engagements kündigte Apple an, eintausend iPhone-17-Geräte an Menschenrechtsorganisationen zu spenden, die mit gefährdeten Personen zusammenarbeiten.
Die deutliche Erhöhung der Prämien signalisiert, wie ernst Apple den Wettlauf gegen die Spyware-Industrie nimmt. Das Unternehmen setzt darauf, dass die besten Sicherheitsforscher der Welt ihre Fähigkeiten nutzen, um das Ökosystem sicherer zu machen, anstatt ihre Entdeckungen an die Meistbietenden zu verkaufen.
