Sicherheitsforscher warnt: Apple zeigt den "Mittelfinger in Richtung MacOS"
Forscher, die Sicherheitslücken in dem Apple-Betriebssystem MacOS erkunden und an den Hersteller melden, erhalten dafür künftig geringere Belohnungen. Darauf machte kürzlich der Sicherheitsforscher Csaba Fitzl in einem Beitrag auf Linkedin(öffnet im neuen Fenster) aufmerksam. Er wirft Apple vor, MacOS mit diesem Schritt abzuwerten und sich nicht mehr für den Datenschutz der Nutzer zu interessieren.
Als Beispiel für die verringerten Prämien nennt Fitzl Umgehungen des Datenschutz-Frameworks TCC (Transparency, Consent and Control), die früher mit Auszahlungen von bis zu 30.500 US-Dollar belohnt wurden, jetzt aber nur noch mit 5.000 US-Dollar. Auch die Bug-Bounty-Prämie für das Melden einer Sandbox-Escape-Schwachstelle wurde laut Fitzl von 10.000 auf 5.000 US-Dollar halbiert.
Priorität des Datenschutzes unter MacOS
"Das lässt sich nur schwer positiv interpretieren" , kritisiert der Forscher in seinem Beitrag. Apple signalisiere damit entgegen seinem bisherigen Datenschutz-Mantra, sich nicht länger für Datenschutz zu interessieren oder schlichtweg nicht bereit oder in der Lage zu sein, gemeldete Probleme zu beheben oder dafür zu bezahlen.
"Es gibt ohnehin nicht viele Leute, die unter MacOS nach Schwachstellen suchen. Dieser Schritt könnte das Interesse daran noch weiter verringern" , so Fitzl. Der Forscher hält es für naheliegend, dass viele seiner Kollegen nun die Plattform wechseln oder anfangen, ihre Exploits anderweitig zu verkaufen.
Verringerte Bug-Bounty-Rewards gibt es allerdings nicht bei allen Apple-Betriebssystemen. Im Gegenteil: Im Falle von iOS erhöhte der Konzern die Auszahlungen sogar. Forscher vermuten daher, dass Apple seinen Fokus auf Mobilgeräte verschiebt. Doch Fitzl sieht auch diesen Trend kritisch. "Das ist ein Mittelfinger in Richtung MacOS" , schreibt er auf Linkedin.
Bis zu zwei Millionen US-Dollar möglich
Apple listet seine aktuellen Bug-Bounty-Prämien auf einer eigenen Webseite(öffnet im neuen Fenster) auf. Die höchste Belohnung von zwei Millionen US-Dollar gibt es demnach für Sicherheitslücken, mit denen sich fremde Mobilgeräte ohne Nutzerinteraktion kapern lassen und einen Zugriff auf Kernelebene ermöglichen – beispielsweise über eine Zero-Click-Lücke , die durch eine via RCS verschickte Nachricht ausgenutzt wird.
Immer noch eine Million US-Dollar gibt es für vergleichbare Lücken, die nur eine einfache Benutzerinteraktion wie das Akzeptieren einer Kalendereinladung erfordern. Ebenso hohe Auszahlungen sieht Apple vor, wenn eine gemeldete Sicherheitslücke Angreifern durch den bloßen Aufruf einer bösartigen Webseite mit dem Safari-Browser einen Zugriff auf Kernel-Ebene verleiht.
Es gibt allerdings auch Zero-Day-Händler, die für entsprechende Funde noch weitaus höhere Prämien zahlen , um angekaufte Exploits später beispielsweise an staatlich unterstützte Hacker zu verkaufen. Dass Sicherheitsforscher aufgrund der verringerten Auszahlungen für MacOS-Lücken besorgt sind, ist daher wenig verwunderlich.