Security: Apple öffnet Bug-Bountys und zahlt bis zu 1,5 Millionen

Wie angekündigt hat Apple sein Bug-Bounty-Programm für alle Sicherheitsforscher geöffnet. Für eine entdeckte Sicherheitslücke zahlt das Unternehmen unter Umständen bis zu 1,5 Millionen US-Dollar.

Artikel veröffentlicht am ,
Die Bug-Bountys von Apple stehen künftig allen offen.
Die Bug-Bountys von Apple stehen künftig allen offen. (Bild: ALASTAIR PIKE/AFP via Getty Images)

Der IT-Konzern Apple hat die Details für sein neues Bug-Bounty-Programm bekannt gegeben, das nun allen interessierten Sicherheitsforschern offensteht. Bereits zur IT-Sicherheitskonferenz Black Hat vor wenigen Monaten hatte Apples Sicherheitschef Ivan Krstic angekündigt, das Bug-Bounty-Programm das Unternehmens deutlich zu erweitern.

Stellenmarkt
  1. IT-Administrator*in (m/w/d)
    Possehl Spezialbau GmbH, Sprendlingen (Home-Office)
  2. IT-Systemadministrator*in (m/w/d)
    Universität Osnabrück, Osnabrück
Detailsuche

Bisher hat Apple für das Programm nur mit ausgewählten Sicherheitsforschern zusammengearbeitet und auch nur Sicherheitslücken in iOS akzeptiert. Künftig können wie erwähnt alle interessierten Forscher teilnehmen und auch Lücken in iPad OS, MacOS, TVOS, WatchOS, und der iCloud melden. Ebenso akzeptiert das Unternehmen Sicherheitslücken, die auf Fehler in der Hardware zurückzuführen sind, etwa Seitenkanalangriffe auf CPUs.

Statt der bisher maximal ausgezahlten 200.000 US-Dollar bietet das Unternehmen künftig zudem bis zu 1 Million US-Dollar. Die je nach Kategorie der Lücke gestaffelten Belohnungen will Apple zudem noch mit einem Bonus von 50 Prozent erweitern, wenn sich die Lücken in Entwicklervorschauen oder öffentlichen Betas befinden und Apple nicht schon bekannt sind.

Auch sogenannte Regressions sollen belohnt werden, also von Apple versehentlich wieder eingeführte Lücken, die zuvor schon einmal geschlossen wurden. Mit den Boni sind also maximal 1,5 Millionen US-Dollar Belohnung möglich. Dafür muss jedoch eine Lücke gefunden werden, die dauerhaft das Ausführen von Code im Kernel ermöglicht, ohne dass eine Nutzerinteraktion notwendig ist. Apple bezeichnet dies als Zero-Click-Angriff.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Um aber tatsächlich die von Apple ausgelobten Belohnungen zu erhalten, müssen die Forscher einige Bedingungen einhalten. Dazu gehört vor allem, dass sie einen vollständigen funktionierenden Exploit mitliefern müssen. Für einen Proof of Concept will Apple nur höchstens die Hälfte der maximal ausgelobten Belohnung auszahlen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Fifa, Battlefield und Co.
Der EA-Hack startete mit Cookies für 10 US-Dollar

Die Hacking-Gruppe erklärt dem Magazin Motherboard Schritt für Schritt, wie der Hack auf EA gelang. Die primäre Fehlerquelle: der Mensch.

Fifa, Battlefield und Co.: Der EA-Hack startete mit Cookies für 10 US-Dollar
Artikel
  1. Bitkom: Entscheidungsfreudiges Digitalministerium im Bund nötig
    Bitkom
    "Entscheidungsfreudiges" Digitalministerium im Bund nötig

    Die Verbände Bitkom und Eco sind sich beim Digitalministerium einig. Eine kompetente Führung sei gefragt.

  2. Streit mit den USA: EU stellt geplante Digitalsteuer zurück
    Streit mit den USA
    EU stellt geplante Digitalsteuer zurück

    Der Kampf um die internationale Mindeststeuer für IT-Konzerne geht in die nächste Runde.

  3. Ubisoft: Avatar statt Assassin's Creed
    Ubisoft
    Avatar statt Assassin's Creed

    E3 2021 Als wichtigste Neuheit hat Ubisoft ein Spiel auf Basis von Avatar vorgestellt - und Assassin's Creed muss mit Valhalla in die Verlängerung.

OderUnd 21. Dez 2019

Zitation benötigt? Meiner Erfahrung nach werden Bugs und Exploits zeitnah gefixt und auf...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Corsair Hydro H80i V2 RGB 73,50€ • Apple iPad 10.2 389€ • Razer Book 13 1.158,13€ • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ [Werbung]
    •  /