In der IT-Branche ist es üblich, die Entdecker von Sicherheitslücken zu belohnen. Die Prämien sollen den Anreiz unter den Sicherheitsforschern erhöhen, neu aufgespürte Schwachstellen direkt und vertraulich an die Softwarehersteller zu melden anstatt ihr Wissen auf dem freien Markt anzubieten. Apple hat ein solches Prämienprogramm vor mehr als drei Jahren eingeführt – bislang galt es allerdings nur für iOS.
Diese Beschränkung hat Apple nun aufgehoben. Ab sofort werden auch die Entdecker von macOS-Sicherheitslücken entlohnt. Damit setzte das Unternehmen eine im Sommer zur Black-Hat-Sicherheitskonferenz in Las Vegas getätigte Ankündigung um. Außerdem bezieht der Computerpionier nun auch watchOS, tvOS und iCloud mit ein - damit sind alle Apple-Plattformen von dem sogenannten Bug-Bounty-Programm abgedeckt.
Gleichzeitig erhöhte der Mac- und iPhone-Hersteller die Prämien für entdeckte Sicherheitslücken auf bis zu eine Million US-Dollar, abhängig vom Schweregrad (beim Aufspüren von Schwachstellen in Betas gibt es 50 Prozent Bonus). Zuvor zahlte Apple maximal 200.000 US-Dollar je Schwachstelle. Wird die von Apple gezahlte Prämie gespendet, verdoppelt Apple den Betrag, der an eine gemeinnützige Organisation geht. Einzelheiten zu dem Programm sind auf der Web-Seite "Apple Security Bounty" zu finden.
Bild: Apple.
Eine weitere Neuerung: Ausgewählten Sicherheitsexperten werden ab nächstem Jahr speziell präparierte iPhones zur Verfügung gestellt, die Entwicklergeräten sehr ähnlich sind und die tiefergehende Forschungen als mit den im Handel erhältlichen iPhones ermöglichen. Dies soll den Experten helfen, Sicherheitslücken leichter aufzuspüren als bisher.
Das Belohnungssystem ist eine Win-Win-Situation für beide Seiten. Die Sicherheitsforscher bzw. Hobby-Tüftler werden für ihre Mühen entlohnt, wenn sie Informationen über Schwachstellen vertraulich an die Hersteller melden. Die Hersteller wiederum können dadurch die Sicherheit ihrer Betriebssysteme und Anwendungen erhöhen, wovon wiederum die Anwender profitieren.