News

Apple stellt eigenes Bug-Bounty-Programm für Hacker vor

Apple will Hacker für das Auffinden von Sicherheitslücken bezahlen.
Apple will Hacker für das Auffinden von Sicherheitslücken bezahlen. (©CC: Flickr/Ivan David Gomez Arce 2014)

Apple hat auf der IT-Sicherheitskonferenz Black Hat 2016 ein neues Bug-Belohnungsprogramm vorgestellt. Wer einen kritischen Fehler in der Software des Unternehmens entdeckt, kann bis zu 200.000 US-Dollar verdienen.

Apple führt nun auch ein Belohnungsprogramm ein, bei dem Hacker und IT-Sicherheitsexperten Geld verdienen können, wenn sie einen Bug oder eine Sicherheitslücke in der Software des Unternehmens entdecken. Vorgestellt wurde das neue Programm von Apples Sicherheitschef Ivan Krstic am Donnerstag auf der Konferenz Black Hat 2016. Andere große Tech-Firmen wie Facebook, Google oder Microsoft bieten ähnliche Bug-Bounty-Programm schon seit Längerem an.

Folgende Belohnungsliste stellte Apple auf der IT-Sicherheitskonferenz vor:

  • 200.000 US-Dollar für Schwachstellen in der Secureboot-Firmware
  • 100.000 US-Dollar für Extraktion von vertraulichem Material aus dem Secure Enclave-Prozessor
  • 50.000 US-Dollar für Ausführung von Code mit Kernel-Privilegien
  • 50.000 US-Dollar für unrechtmäßigen Zugang zu iCloud-Daten und Accountinformationen auf Apples Servern
  • 25.000 US-Dollar für Zugriff von einem Prozess in einer Sandbox aus auf Daten außerhalb der Sandbox

Bug-Bounty-Programm zunächst nur Invite Only

Dabei handelt es sich allerdings um maximal mögliche Summen in den jeweiligen Kategorien. Die genaue Höhe der Belohnung macht Apple auch abhängig von der genauen Dokumentierung der Sicherheitslücke, der Neuartigkeit des Problems und der Wahrscheinlichkeit, dass Endnutzer damit in Berührung kommen.

Ein weiterer Haken des Bug-Bounty-Programms von Apple, das im September starten soll: Zunächst gibt es Zugang nur auf Einladung des Unternehmens. Anfangs dürften also nur ein paar Dutzend renommierte IT-Sicherheitsexperten und Hacker ein Invite bekommen. Apple erklärte jedoch, dass Programm in Zukunft schrittweise für immer mehr Mitglieder öffnen zu wollen. Falls ein Nicht-Mitglied einen signifikanten Bug entdeckt, soll es zudem in das Bug-Bounty-Programm eingeladen werden.

Artikel-Themen

Weitere Artikel zum Thema

close
Bitte Suchbegriff eingeben