Kommentar Apple ist die Sicherheit seiner Nutzer zu wenig wert

Henning Steier

5.2.2019

Mac-Nutzerin: Für Lücken in macOS zahlt Apple keine Prämien.
Mac-Nutzerin: Für Lücken in macOS zahlt Apple keine Prämien.
Symbolbild: PD

Der Finder der FaceTime-Lücke bekommt offenbar ausnahmsweise Geld. Das dürfte Kritiker des Bug Bounty Program, in dem Apple Sicherheitsexperten Prämien für entdeckte Fehler bezahlt, nicht besänftigen – ein Kommentar.

Apple will dem 14-Jährigen Grant Thompson aus Arizona, der jüngst eine grosse Sicherheitslücke in der hauseigenen App FaceTime entdeckte, eine Belohnung zahlen. Dies berichtet die Mutter des Teenagers. Das ist insofern bemerkenswert, als normalerweise nur registrierte IT-Sicherheitsexperten im Rahmen des Bug Bounty Program Geld für iOS-Fehler erhalten, die sie Apple melden.  

Apple hatte unlängst die Gruppenvideochatfunktion in FaceTime abschalten müssen. Denn wegen des erwähnten Fehlers hätten Cyberangreifer aus der Ferne das Mikrofon eines iPhones, iPads oder Macs aus der Ferne ohne Zutun des Nutzers einschalten können. Selbiges wäre mit der Videokamera unter gewissen Voraussetzungen möglich gewesen.  Apple hat den Bug der Gruppenchat-Funktion Group FaceTime mittlerweile behoben. Ausserdem kündigte das Unternehmen an, die Melde- und Prüfprozesse überarbeiten zu wollen.

Konkurrenz weniger streng

Vom für Apple-Verhältnisse katastrophalen Fehler einmal abgesehen: Das Bug Bounty Program der Kalifornier steht seit Jahren in der Kritik. Denn Apple ging erst 2016 damit an den Start und definiert recht eng, für welche Arten von Fehlern Geld fliesst. Zudem kann sich bei weitem nicht jeder IT-Sicherheitsexperte anmelden. Konkurrenten wie Google, Facebook und Microsoft sind da weniger restriktiv. 

Der wohl für viele Sicherheitsforscher grösste Kritikpunkt: Für macOS gibt es nach wie vor kein Bug-Bounty-Programm. Der bekannte IT-Experte Patrick Wardle spielte daher 2018 sogar mit dem Gedanken, Informationen zu Lücken zu veröffentlichen, bevor Apple diese schliessen konnte.  

Schlüssel-Lücke bleibt offen

Diese Woche kündigte der deutsche Sicherheitsexperte  Linus Henze an, Details einer kritischen Lücke im macOS-Schlüsselbund nicht mit Apple teilen zu wollen. Durch die Lücke lassen sich Passwörter auslesen. Henze gab als Grund für seine Entscheidung das fehlende Bug Bounty Programm für macOS an.

Linus Henze verrät eine Informationen zu Keychain-Lücke in einem YouTube-Video.

Und welche Folgen hat das für Nutzer? Patrick Wardle Wardle hatte bereits 2017 verlauten lassen, iOS-Bugs seien zu wertvoll, um sie Apple zu melden. Ähnliches war vom Sicherheitsexperten Nikias Bassen zu vernehmen. Fakt ist: Schwachstellenhändler bieten für kritische Sicherheitslücken Millionen, bei Apple erhält man maximal 200'000 US-Dollar. Die Schwarzmarkthändler verkaufen die Details zu den Sicherheitsmängeln dann an Geheimdienste oder Cyberkriminelle weiter. Somit werden wohl oftmals Lücken über längere Zeiträume nicht geschlossen, die Hunderte Millionen Nutzer gefährden könnten. 

Hier können Sie dem Autor auf Twitter folgen – und dort können Sie sich mit ihm auf Linkedin vernetzen.

Bilder des Tages

Zurück zur Startseite