Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Kritik an Apples Fehlerjagd-Programm: Verkauf an Hacking-Unternehmen und Behörden ist viel lukrativer

Große IT-Unternehmen wie Apple, Microsoft und Co. sehen sich der ständigen Gefahr von Hacker-Angriffen auf ihre Systeme ausgesetzt – daher sollen Sicherheitslücken möglichst schnell identifiziert und beseitigt werden. Sogenannte "Bug Bounty Programs" helfen dabei. Firmen setzen ein "Kopfgeld" auf gefundene Sicherheitslecks oder andere Softwarefehler aus und entlohnen die Person, die sie ausfindig macht und an das jeweilige Unternehmen meldet.

Apples Bug Bounty Program steht jedoch immer mehr in der Kritik. Sicherheitsforscher und Entwickler beklagen sich über langsame Reaktionen aus Cupertino, verzögerte (oder ganz ausbleibende) Zahlungen sowie fehlende Behebungen der gemeldeten Software-Schwachstellen.


Apples Bug Bounty nicht konsequent genug
Die Washington Post zitiert in ihrem dazugehörigen Bericht diverse Sicherheitsforscher, die Apples Bug Bounty Program mangelnde Konsequenz vorwerfen – insbesondere im Vergleich zu anderen diesbezüglichen Angeboten von Konkurrenten wie Microsoft oder Facebook. Die Liste der kritisierten Aspekte an Apples Bug Bounty ist lang.

Bug-Meldungen gehen an Behörden oder Hacking-Unternehmen statt an Apple
Das Unternehmen kommuniziere beispielsweise nur unzureichend, welche gefundenen Sicherheitslücken finanzielle Belohnungen nach sich ziehen. Das führe zu einer nachlassenden Motivation seitens Entwicklern und Sicherheitsforschern, entsprechende Schwachstellen überhaupt an Apple weiterzutragen. Stattdessen gehen die gefundenen Sicherheitslecks oft an Behörden oder andere Unternehmen, die ihr Geld mit dem "Hacking" von Software beziehungsweise Geräten verdienen – was eine große Gefahr für Datenschutz und Privatsphäre darstelle.

Kritischer Erfahrungsbericht eines Entwicklers
iOS-Entwickler Tian Zhang berichtet von mehreren negativen Erfahrungen mit Apples Bug Bounty. 2017 habe er eine Sicherheitslücke an das Unternehmen gemeldet, jedoch monatelang keine Antwort erhalten. Schlussendlich veröffentlichte er einen Blog-Artikel bezüglich des Bugs. Bei einem weiteren, an Apple weitergeleiteten Sicherheitsleck behob Apple das Problem zwar, gab Zhang jedoch kein Feedback. Bei einem dritten gemeldeten Bug (der laut Zhang für ein Preisgeld qualifiziert war) verweigerte Apple die Auszahlung.

Apple kündigt Verbesserungen an
Das Unternehmen aus Cupertino bezahlte 2020 rund 3,7 Millionen US-Dollar an Preisgeldern im Rahmen des Bug Bounty Program. Zum Vergleich: Google überwies im gleichen Zeitraum 6,7 Millionen US-Dollar, Microsoft 13,6 Millionen. Apple bezeichnet die hauseigene Bug Bounty dennoch als Erfolg. 2020 sei doppelt so viel ausgezahlt worden wie im Jahr davor. Gleichzeitig kündigte Apple Verbesserungen an, darunter weitere Preisgelder und bessere Tools zum Aufspüren von Sicherheitslecks.

Kommentare

DonSiffredi10.09.21 15:17
Nach den Meldungen der letzten Wochen zu Pegasus und CSAM fragt man sich ja so langsam, ob Apple seine Produkte absichtlich so angreifbar gestaltet.
+4
Michael Lang aus Rieder10.09.21 15:49
Pegasus und CSAM haben ja erstmal gar nichts miteinander zu tun.

Aber Apple täte gut daran, das Thema Sicherheitslücken viel mehr anzugehen. Die paar Milliönchen für das Bug Bounty proramm stellen ja nun kein Problem dar. man muß auch nicht absurd viel Kohle raushauen pro Bug, aber es muß transparent sein mit schnellem Feedback an die Entdecker und auch schnellem Schließen der Lücke.

Wenn Dritte mehr zahlen als Apple, dann ist das absurd. Da muß Apple umdenken, genau wie bei den oben genannten Themen.

Apple muß wirklich erkennen, dass den Usern das Thema Privatsphäre und Sicherheit sehr viel wert ist (immerhin kaufen die User vergleichsweise teure Apple-Hardware). Das Vertrauen muß Apple erst mal wieder erarbeiten.
Die haben offensichtlich noch nicht voll realisiert was Sie hier gerade kaputt machen. Und da darf man nicht nur in die USA blicken, sondern weltweit!
+8
Metty
Metty10.09.21 16:04
Apple's Kommunikation ist in der letzten Zeit aber so etwas von ungeschickt. Irgendwie ist das Feingefühl für die Bedürfnisse von Kunden und Partnern verloren gegangen. Sicherheitsforscher und Entwickler sind Partner, keine Störenfriede oder Abzocker. Und die Suche nach Sicherheitsproblemen verlangt eine hohe Qualifikation und benötigt viel Zeit. Und wenn jemand schon so fair ist und das Problem dem Hersteller bekannt gibt, dann sollte der auch angemessen darauf reagieren.
Apple lässt in der letzten Zeit jede Kritik, und sei sie auch noch so berechtigt, einfach an sich abprallen. Eine Reaktion kommt erst wenn es negative Schlagzeilen in der Presse gibt.
Eine Marke lebt auch von deren Image in der Bevölkerung. Wenn es nicht mehr schick ist ein iPhone zu nutzen sinken auch die Verkaufszahlen. Apple's Kunden gehören zu den markentreuesten Kunden, die es gibt. Dieses Potential sollte Apple besser nicht verspielen.
+9
Wiesi
Wiesi10.09.21 17:35
Metty
Apple's Kommunikation ist in der letzten Zeit aber so etwas von ungeschickt. Irgendwie ist das Feingefühl für die Bedürfnisse von Kunden und Partnern verloren gegangen.

Apple sitzt auf dem hohen Ross, da ist kein Feingefühl möglich.
Everything should be as simple as possible, but not simpler
+5
heubergen10.09.21 20:07
Ich sehe nicht ein wieso der Hersteller hierfür Geld ausgeben muss. Entweder die Hacker machen es aus guten Gründen (weil sie die Sicherheit der Geräte verbessern möchten) und geben die Lücke gratis ab oder es sind Verbrecher deren Machenschaften sicher nicht auch noch belohnt werden müssen.
Apple sitzt auf dem hohen Ross, da ist kein Feingefühl möglich.

Sie sitzen nicht auf dem hohen Ross, sie sind das beste Unternehmen. Die schlauen Kunden merken es, die andere können gerne zu Google rennen.
-9
MacGuffin10.09.21 20:52
heubergen
Sie sitzen nicht auf dem hohen Ross, sie sind das beste Unternehmen. Die schlauen Kunden merken es, die andere können gerne zu Google rennen.

Hochmut kommt vor dem Fall.
+5
AppleUser2013
AppleUser201310.09.21 21:14
Wenn Apple so weiter macht, wird die "Iphone Masse" nicht bleiben und darum gehts...
Macs und sonstiges... Egal... Wen interessiert das überhaupt...
Aber wenn die Leute keine Iphones mehr kaufen; Dann hat Apple ein Problem...
+2
beanchen12.09.21 10:56
Mal abgesehen von Apples fragwürdigem Verhalten, wer seine Erkenntnisse an Hacker verkauft ist kein "Sicherheitsforscher".
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.