Apple legt neues Fehlerjagd-Programm auf: Bis zu einer Million Belohnung, macOS Teil des Programms

Auf der Black Hat Sicherheitskonferenz in Las Vegas hat Apple bekannt gegeben, endlich ein echtes Programm aufzulegen, um Hacker für die Suche nach Sicherheitslücken zu entlohnen. Im August 2016 startete Apple ein erstes Bug Bounty Program, welches allerdings viel zu kurz griff: Nur Sicherheitsmängel in iOS waren von diesem Programm abgedeckt und die Entlohnung von 200.000 Dollar pro gefundenem Fehler war gemessen an den branchenüblichen Vergütungen viel zu gering. Finanziell gesehen lohnte es sich bei diesem Betrag für Hacker eher, gefundene Sicherheitslücken auf dem Schwarzmarkt feilzubieten, statt diese an Apple zu melden.


Bis zu 1.000.000 Dollar
Apple hat nun das Sicherheitsprogramm deutlich erweitert: Nicht nur Sicherheitsprobleme in iOS, sondern auch in macOS, tvOS, watchOS und bei iCloud führen nun zu einer Belohnung für Hacker. Außerdem hebt Apple die maximale Vergütung deutlich an: Statt 200.000 Dollar sind nun eine Million Dollar möglich. Findet ein Hacker in einer Vorabversion Sicherheitsfehler, gibt es noch 50 Prozent Bonus.

Vergütung gestaffelt
Die Vergütung richtet sich aber stark nach der Art des Fehlers: Ein Überwinden des Sperrbildschirms auf iOS-Geräten mit physischen Zugriff auf das Gerät ist Apple 100.000 Dollar wert. Schafft man es, Code mit Kernel-Privilegien aus einer vom Nutzer installierten App auszuführen, bekommt man 150.000 Dollar. Den maximalen Betrag von einer Million zahlt Apple, wenn ein Hacker über ein Netzwerk Code auf einem Gerät mit Kernel-Privilegien ausführen kann – ohne Nutzerinteraktion.


Nur 100.000 Dollar für iCloud-Hack
Etwas verwunderlich ist, dass Apple nur 100.000 Dollar bezahlt, wenn es einem Hacker gelingt, unautorisierten Zugriff auf iCloud-Server zu erlangen – eigentlich müsste dies Apple deutlich mehr wert sein, wenn man bedenkt, dass man über solche Sicherheitslücken wahrscheinlich sensible Kundendaten auslesen oder abfangen kann.


Spezielle iOS-Versionen für Sicherheitsforscher
Schon vor einer Woche wurde bekannt, dass Apple plant, spezielle iOS-Versionen für Sicherheitsforscher bereitzustellen. Auf der Black-Hat-Konferenz bestätigte Apple nun dieses Programm. Bekannte Sicherheitsforscher, welche sich durch das Auffinden von Sicherheitslücken einen Namen gemacht haben, erhalten nun spezielle iPhone-Modelle mit einer Sonderversion von iOS, welche über einen SSH-Zugang, eine Shell wie auch über ausgeweitete Debug-Möglichkeiten verfügen. Das Programm soll im kommenden Jahr starten.

Kommentare

nane
nane09.08.19 10:16
Super gemacht Endlich!
Das Leben ist ein langer Traum an dessen Ende kein Wecker klingelt.
+4
sierkb09.08.19 10:34
Thomas Ptacek via Twitter, 08.08.2019
Apple is doing some _smart_ stuff. Developer unlocked devices for security researchers. Bounty premiums for findings in beta releases; partly flips the script on the economics of vulnerabilities.
Patrick Wardle via Twitter, 08.08.2019
🙌 🍎
Q:
Q:
Patrick Wardle via Twitter, 08.08.2019
Kudos to Apple for launching an open, comprehensive, competitive, bug-bounty program! 🍎🥰

Sure this mutually benefits security researchers & Apple, but end users should be also stoked on the increased security this brings🛡️ ...now off to submit bugs 🐛

https://techcrunch.com/2019/08/08/apple-hackers-macos-securi ty/
Q:
Stefan Esser via Twitter, 08.08.2019
You will be surprised to hear this from me... But I applaud @Apple on what they are changing in the Apple Security Bounty.
Q:
Luca Todesco via Twitter, 08.08.2019
it is hard to understate how important of a thing this is for iOS security. visibility limitations have forever created incentives for attackers to not cooperate with Apple. I (and quite a few others!) have tried to push for this over the past several years.
Q:
Luca Todesco via Twitter, 08.08.2019
damn, the bounty starts to be in the realm of making sense
https://twitter.com/0x30n/status/1159552999569547265
Q:
Steve Troughton-Smith via Twitter, 08.08.2019
The day has finally come (well, soon) where Apple is offering an iOS device with SSH and a root shell. Granted, to a very select few right now. But I hope it expands to more people over time; I know I want something like that, too!
Q:
Axel Stamos via Twitter, 08.08.2019
Dear Apple PR: @radian did a fantastic job representing your brand today. Apple has a reputation of not allowing their security team interact with the community, hopefully this is a fresh start.
Dino A. Dai Zovi via Twitter, 08.08.2019
Really fascinating security properties and amazing execution of them in Apple’s Find My, presented by @radian at #Blackhat2019
Q:
Q:
Axel Stamos via Twitter, 08.08.2019
Congratulations on following other companies in offering semi-debug access to researchers, although the real test will be whether the TOS allows for @natashenka and team at P0 to participate.
Q:
Rich Mogull via Twitter, 08.08.2019
Massive jump in Apple bug bounties. Now payouts for pre release (with a 50% bonus).

Up to $1M for a zero click full chain kernel code execution!!!

Releasing a vuln research kit with ssh and more on iOS. Full chain access device (yes a supported hardware platform).
Q:
+1
Tekl
Tekl09.08.19 10:55
Das mit der halben Vergütung bei Lücken in Vorabversionen verstehe ich nicht so recht. Wer nicht finanziell drauf angewiesen ist, wird die Lücke dann ja wohl eher nach dem Release melden und so lange die Füße still halten.
(hier könnte eine hippe, attributreiche Selbstdarstellung stehen)
+1
Dante Anita09.08.19 11:00
Tekl
Das mit der halben Vergütung bei Lücken in Vorabversionen verstehe ich nicht so recht. Wer nicht finanziell drauf angewiesen ist, wird die Lücke dann ja wohl eher nach dem Release melden und so lange die Füße still halten.

In der Hoffnung, das kein anderer schneller ist 😉
+1
MetallSnake
MetallSnake09.08.19 11:00
Die Berichte die ich bisher gelesen habe sind sehr widersprüchlich was die Vergütung bei Lücken von Beta Versionen angeht.

Die einen schreiben es gibt max. 50% (also 500.000$) und die anderen, wie MTN, schreiben es gibt einen Bonus von 50% (also max. 1.500.000$).

Erwachsensein ist halb gestorben --Relatives Menschsein
0
sierkb09.08.19 11:30
MetallSnake:
TechCrunch, 08.08.2019
[…]
Apple said it will open its bug bounty program to all researchers and increase the size of the bounty from the current maximum of $200,000 per exploit to $1 million for a zero-click, full chain kernel code execution attack with persistence — in other words, if an attacker can gain complete control of a phone without any user interaction and simply by knowing a target’s phone number.

Apple also said that any researcher who finds a vulnerability in pre-release builds that’s reported before general release will qualify for up to 50% bonus on top of the category of vulnerability they discover.
[…]
Q: TechCrunch (08.08.2019): Apple expands its bug bounty, increases maximum payout to $1M

Abgesehen davon:

In Kürze nach der BlackHat USA 2019 (gestern zu Ende gegangen) werden zu den dort gehaltenen Vorträgen nach und nach sicher auch die Präsentations-Folien zu den gehaltenen Vorträge veröffentlicht, bestimmt/hoffentlich auch die von Apples Sicherheitschef Ivan Krstić und seinem gestrig gehaltenen Vortrag, da kannste es dann bestimmt auch direkt drin nachlesen:

Black Hat USA 2019 (08.08.2019): Behind the scenes of iOS and Mac Security
Ivan Krstić | Head of Apple Security Engineering and Architecture, Apple


Black Hat USA 2019 (03.-08.08.2019): All Speakers, All Sessions
+3
atello7709.08.19 13:00
Tekl
Das mit der halben Vergütung bei Lücken in Vorabversionen verstehe ich nicht so recht. Wer nicht finanziell drauf angewiesen ist, wird die Lücke dann ja wohl eher nach dem Release melden und so lange die Füße still halten.

Es geht wohl um die zusätzlichen 50% auf die Standardpreise oben drauf:
Researchers who discover vulnerabilities in pre-release software before general release can qualify for up to a 50 percent bonus payout on top of the base bug bounty amount.
0
Tekl
Tekl09.08.19 14:24
Ah, danke für die Klarstellung. Das halte ich auch für viel sinnvoller.
(hier könnte eine hippe, attributreiche Selbstdarstellung stehen)
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen