Apple war eines der wenigen Unternehmen, das sich lange dagegen gewehrt hat, Leute, die Sicherheitslücken aufdecken, zu entlohnen. Nun schließt sich der Megakonzern Unternehmen wie Google, Microsoft oder auch Facebook an und führt ab Herbst dieses Jahres sein erstes eigenes Bug-Bounty-Programm ein.
Jedoch kann sich nicht jeder an der Bug-Suche beteiligen. Am Anfang will Apple nur ausgesuchte Sicherheitsforscher am Programm teilnehmen lassen, die den Konzern schon einmal auf kritische Sicherheitslücken aufmerksam gemacht haben. Später soll das Bug-Bounty-Programm aber auch für andere zugänglich sein.
Gesucht werden sollen Sicherheitslücken sowohl in der Soft-als auch in der Hardware. Bis zu 200.000 US-Dollar lässt sich Apple die gefundenen Bugs kosten. So entlohnt der Unternehmensriese zum Beispiel den Zugriff auf iCloud-Daten mit bis zu 50.000 US-Dollar.
Apple setzt jedoch die Meldung der Bugs zusammen mit einem Proof-of-Concepts voraus sowie der Bedingung, dass diese auf der aktuellsten iOS-Version plus Hardware laufen müssen.
Apple begründet seinen Schritt, ein eigenes Bug-Bounty-Programm zu starten, damit, dass es immer schwieriger werden würde, die Sicherheitslücken selbst zu finden. Gleichzeitig soll verhindert werden, dass Angreifer die Schwachstellen weiterverkaufen. Zudem soll es einen Anreiz darstellen, dem Unternehmen bei der Bug-Suche zu helfen und dafür einen vielversprechenden Finderlohn zu bekommen.