zurück
Sep
10
2021

Apple: Erneute Kritik an Bug-Bounty-Programm

Zu Komplexes Verfahren, zu geringe einlöse: Sicherheitsexperten und White-Hacker empfinden eine Unzufriedenheit mit Apples bezahlter Sicherheitslückensuche.

Apple hält sich an seinem Bug-Bounty-Programm, mit dem der Konzern seine Geräte und Betriebssysteme eigentlich sicher halten möchte. Dennoch sieht Apple sich erneut mit scharfer Kritik konfrontiert. Nach wie vor sieht eine Gruppe bekannter IT-Security-Experten große Probleme bei dem öffentlichen Fehlersuchvorhaben, das vor mittlerweile fünf Jahren von Apple aufgelegt wurde. Gegenüber der Washingon Post beklagen sich die Sicherheitsprofis unter anderem über zu lange Verzögerungen durch Apple sowie ein zu komplexes und verwirrendes System und zu wenig Kommunikation, was denn nun wie viel bei den entdeckten Lücken einbringt.

Apple kommuniziert zu wenig - zu komplexes System

Gründerin Katie Moussouris, von der Sicherheitsfirma Luta Security und Unterstützerin beim US-Verteidigungsministerium, brachte es auf den Punkt: "Das ist ein [Programm], bei dem das Haus immer gewinnt." Apple habe "eine schlechte Repuation in der Sicherheitsindustrie", was wiederum dazu führen werde, dass die Produkte "weniger sicher für die Kunden" seien und sich dadurch auch die Kosten erhöhten.

Apple hatte in letzter Zeit gleich an mehreren Fronten, tatsächlich auch gegenüber der Kundschaft versagt. Unklar ist so immer noch, ob alle von der problematischen Spyware Pegasus ausgenutzten Lücken gefixt sind – Apple weigert sich standhaft, hier Angaben zu machen. Zudem plant der Konzern einen höchst umstrittenen Kindesmissbrauch-Scanner direkt auf iPhones und iPads, was explizite Datenschutzversprechen gebrochen hätte.

Mehr als zwei Dutzend Sicherheitsforschern haben die Bug-Bounty-Probleme gegenüber der Washington Post bestätigt, unter anderem die Arbeit an den gemeldeten Bugs. Diese würden nur sehr langsam gefixt und leider komme es auch vor, dass die eigentlich kommunizierten Bounty-Summen nicht ausgezahlt wurden. Laut Aussage der Whitehat-Hacker siehe man dies schon anhand der gesamten Auszahlungssummen. Aus Apples Kasse gingen 2020 nur 3,7 Millionen US-Dollar an Bounties heraus, Google erreichte 6,7 und Microsoft 13,6 Millionen Dollar. Dies hängt natürlich auch mit dem Umfang der Sicherheitslücken zusammen, doch betreibt der Konzern eine enorm große Plattform mit zum Beispiel über einer Milliarde iPhones im Markt. Zudem kommuniziere Apple sein Bug-Bounty-Programm zurückhaltend. Oft lobend hingegen erwähn Goggle die Forscher, Apple erwähnt sie nur kurz in den Credits seiner Updates.

Massives Backlog bei Bugs?

Insider berichten es soll angeblich ein "massives Backlog" an gemeldeten Bugs geben. Seitens Apple fehle es an Offenheit. Der wichtigsten Sicherheitsmanager des Konzerns, Ivan Krstic, kommentierte, das Programm sei "ein Erfolg" und Apple habe 2020 die doppelte Geldmenge als noch 2019 ausgezahlt.

Man arbeite daran das Programm "hochzuskalieren". Um die Teilnahme auszudehnen, solle es künftig "neue Rewards für Forscher" geben. Man suche ständig nach neuen Wegen, bessere Forschungswerkzeuge bereitzustellen, "die zu unserem rigorosen, industrieführenden Sicherheitsmodell passen". Mittlerweile vergibt Apple gerootete iPhones an ausgewählte Forscher. Künftig soll es noch einfacher werden, Lücken zu melden, so der Konzern. Apple soll außerdem einen neuen Chef für das Bug-Bounty-Programm angestellt haben.

Apple, iOS, Sicherheit