Apples "Bug Bounty"-Programm wurde seit jeher dafür kritisiert, viel zu kärgliche Entlohnung für dokumentierte Sicherheitslücken zu bieten. Wer funktionierende Systemeinbrüche an zwielichtige Akteure verkauft, würde ein Vielfaches dafür erhalten, was wohl in der Praxis auch so geschieht. Für einen erfolgreichen Angriff auf den Kernel ohne Nutzerinteraktion gibt es zwar zwei Millionen Dollar, mit Zutun des Anwenders eine Million, abgesehen davon liegen die Summen weit unterhalb von Mitbewerbern – wenn Apple überhaupt zahlt und nicht versucht, die Sache abzuwiegeln.


Datenschutz ausgehebelt? Belohnungen sinken drastisch
Jetzt hat Apple aber erneut Hand angelegt und die Belohnungen für macOS noch weiter reduziert. Eine komplette Umgehung des Datenschutzsystems TCC ("Transparency, Consent, and Control") bringt gerade einmal 5.000 Dollar ein, zuvor waren es 30.500. Erfolgreiche Exploits in TCC-Teilbereichen wurden von 10.000 auf 1.000 Dollar zusammengestrichen. Derlei Schwachstellen lassen sich beispielsweise ausnutzen, um Zugriff auf die Kamera oder auf das Mikrofon zu erlangen bzw. Daten aus Apple-Programmen wie Kalender, Kontakte oder Health abzugreifen. TCC soll vor allem verhindern, dass Programme ohne Sandboxing genau das durchführen können. Zum Vergleich: Wer Ähnliches unter Windows nachweist, erhält von Microsoft zwischen 100.000 und 250.000 Dollar, von Google rund 150.000 Dollar bei entsprechenden Android-Lücken.

Mehr Mac-Malware, aber weniger Prämie
Der Sicherheitsexperte Csaba Fitzl übt hier deutliche Kritik an Apple, denn gerade das offenkundig geringe Interesse an TCC-Sicherheitslücken sei schwer zu vermitteln. Dies fühle sich sehr an wie "das Zeug können wir ohnehin nicht fixen (weil konzeptionell schlecht)" oder "es ist uns einfach egal" – und das bei einem Anbieter, der Datenschutz so stark hervorhebe. Die macOS-Sandbox auszutricksen, sieht gemäß Programmbedingungen jetzt übrigens ebenfalls nur noch 5.000 statt wie bislang 10.000 Dollar vor.

Den Schwarzmarkt dürfte es freuen
Während es von Sicherheitsforschern heißt, Mac-Malware nehme spürbar zu, sieht Apple das Programm offensichtlich nicht als sinnvollen Baustein im Kampf dagegen an. Laut Fitzl dürfte die Motivation, sich an die Arbeit für Exploit-Dokumentationen zu machen, noch weiter sinken – bzw. der Anreiz, dies doch zu tun, aber die Informationen eben auf dem Schwarzmarkt zu verkaufen, zunehmen.

Geiz an falscher Stelle?
Wirft man einen Blick auf die Beschreibungen zu iOS- und macOS-Sicherheitsupdates, dann geht stets ein großer Teil der Bugfixes auf Meldungen von externen Quellen zurück. Warum Apple sich also derart wenig spendabel zeigt, gilt daher vielen Experten als falscher Weg, um Kosten zu sparen. Nicht jeder mit derlei technischen Fertigkeiten verspürt nun einmal das Bestreben, aus moralischen und idealistischen Gründen heraus Sicherheitslücken an Apple weiterzugeben, um damit allen Nutzern zu helfen. Wie ein etwas älterer Bericht beleuchtet hatte, zahlen NSO oder Zerodium teils Millionensummen für Exploits, die von Apple mit vergleichsweise Trinkgeld-Niveau belohnt werden.