In der Softwarebranche ist es seit mehreren Jahren üblich, dass Hersteller Prämien an diejenigen Entwickler zahlen, die Sicherheitslücken entdecken und melden. Die Unternehmen wollen damit einerseits die Findigkeit von Sicherheitsexperten belohnen, andererseits verhindern, dass Details zu Schwachstellen an Regierungsbehörden oder Hacker verkauft werden. Apple hat sich dieser Praxis bislang verweigert – nun erfolgt eine Kehrtwende. Der Mac- und iPhone-Hersteller zahlt künftig bis zu 200.000 US-Dollar für eine entdeckte und gemeldete Sicherheitslücke.

Eine entsprechende Ankündigung machte Apple auf der diesjährigen Black-Hat-Sicherheitskonferenz, die in den letzten Tagen in Las Vegas stattgefunden hat. Das Programm soll im Herbst zunächst mit ausgewählten Sicherheitsforschern, mit denen Apple bereits in der Vergangenheit zusammengearbeitet hat, starten. Für eine entdeckte Sicherheitslücke, die den Zugriff auf eigentlich geschützte Sandbox-Prozesse erlaubt, wollen die Kalifornier 25.000 US-Dollar zahlen. Schwachstellen, die die Ausführung von Schadcode mit Kernel-Zugriffsrechten oder den Zugriff auf iCloud-Daten ermöglichen, sollen mit je 50.000 US-Dollar belohnt werden.

Für eine aufgespürte Sicherheitslücke, mit der Daten aus dem Sicherheitsbereich von iOS-Prozessoren ausgelesen werden kann, gibt es 100.000 US-Dollar und für Schwachstellen, die die Firmware betreffen, 200.000 US-Dollar. Entwickler, die eine Schwachstelle in Apple-Software entdeckt haben, müssen alle Details inklusive eines sogenannten Proof-of-Concepts an Apple übermitteln und sich zur Geheimhaltung zu verpflichten. Apple will das Programm nach dem Start schrittweise ausweiten und auch für weitere Arten von Sicherheitslücken Belohnungen zahlen sowie mit einer größeren Zahl an Experten zusammenarbeiten.