Security: Apple öffnet Bug-Bountys und zahlt bis zu 1,5 Millionen

Wie angekündigt hat Apple sein Bug-Bounty-Programm für alle Sicherheitsforscher geöffnet. Für eine entdeckte Sicherheitslücke zahlt das Unternehmen unter Umständen bis zu 1,5 Millionen US-Dollar.

Artikel veröffentlicht am ,
Die Bug-Bountys von Apple stehen künftig allen offen.
Die Bug-Bountys von Apple stehen künftig allen offen. (Bild: ALASTAIR PIKE/AFP via Getty Images)

Der IT-Konzern Apple hat die Details für sein neues Bug-Bounty-Programm bekannt gegeben, das nun allen interessierten Sicherheitsforschern offensteht. Bereits zur IT-Sicherheitskonferenz Black Hat vor wenigen Monaten hatte Apples Sicherheitschef Ivan Krstic angekündigt, das Bug-Bounty-Programm das Unternehmens deutlich zu erweitern.

Stellenmarkt
  1. Mitarbeiter im Service Desk (m/w/d)
    Techniklotsen GmbH, Bielefeld
  2. Berater Krankenhausinformationssystem (KIS) Neueinführungen (m/w/d)
    Helios IT Service GmbH, Berlin-Buch, deutschlandweit
Detailsuche

Bisher hat Apple für das Programm nur mit ausgewählten Sicherheitsforschern zusammengearbeitet und auch nur Sicherheitslücken in iOS akzeptiert. Künftig können wie erwähnt alle interessierten Forscher teilnehmen und auch Lücken in iPad OS, MacOS, TVOS, WatchOS, und der iCloud melden. Ebenso akzeptiert das Unternehmen Sicherheitslücken, die auf Fehler in der Hardware zurückzuführen sind, etwa Seitenkanalangriffe auf CPUs.

Statt der bisher maximal ausgezahlten 200.000 US-Dollar bietet das Unternehmen künftig zudem bis zu 1 Million US-Dollar. Die je nach Kategorie der Lücke gestaffelten Belohnungen will Apple zudem noch mit einem Bonus von 50 Prozent erweitern, wenn sich die Lücken in Entwicklervorschauen oder öffentlichen Betas befinden und Apple nicht schon bekannt sind.

Auch sogenannte Regressions sollen belohnt werden, also von Apple versehentlich wieder eingeführte Lücken, die zuvor schon einmal geschlossen wurden. Mit den Boni sind also maximal 1,5 Millionen US-Dollar Belohnung möglich. Dafür muss jedoch eine Lücke gefunden werden, die dauerhaft das Ausführen von Code im Kernel ermöglicht, ohne dass eine Nutzerinteraktion notwendig ist. Apple bezeichnet dies als Zero-Click-Angriff.

Golem Akademie
  1. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    14.–18. Februar 2022, virtuell
  2. Unreal Engine 4 Grundlagen: virtueller Drei-Tage-Workshop
    28. Februar–2. März 2022, Virtuell
Weitere IT-Trainings

Um aber tatsächlich die von Apple ausgelobten Belohnungen zu erhalten, müssen die Forscher einige Bedingungen einhalten. Dazu gehört vor allem, dass sie einen vollständigen funktionierenden Exploit mitliefern müssen. Für einen Proof of Concept will Apple nur höchstens die Hälfte der maximal ausgelobten Belohnung auszahlen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Lego Star Wars UCS AT-AT aufgebaut
"Das ist kein Mond, das ist ein Lego-Modell"

Ganz wie der Imperator es wünscht: Der Lego UCS AT-AT ist riesig und imposant - und eines der besten Star-Wars-Modelle aus Klemmbausteinen.
Ein Praxistest von Oliver Nickel

Lego Star Wars UCS AT-AT aufgebaut: Das ist kein Mond, das ist ein Lego-Modell
Artikel
  1. Kryptowährung im Fall: Bitcoin legt rasante Talfahrt hin
    Kryptowährung im Fall
    Bitcoin legt rasante Talfahrt hin

    Am Samstag setzte sich der Absturz des Bitcoin fort. Ein Bitcoin ist nur noch 34.200 US-Dollar wert. Auch andere Kryptowährungen machen Verluste.

  2. eStream: Airstream-Wohnwagen mit eigenem Elektroantrieb
    eStream
    Airstream-Wohnwagen mit eigenem Elektroantrieb

    Der Wohnwagen Airstream eStream besitzt einen eigenen Elektroantrieb nebst Akku. Das entlastet das Zugfahrzeug und eröffnet weitere Möglichkeiten.

  3. Andromeda: Dieses Microsoft-Smartphone-Betriebssystem erschien nie
    Andromeda
    Dieses Microsoft-Smartphone-Betriebssystem erschien nie

    Erstmals ist ein Blick auf Andromeda möglich - das Smartphone-Betriebssystem, das Microsoft bereits vor einigen Jahren eingestellt hat.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Corsair Vengeance RGB RT 16-GB-Kit DDR4-4000 120,95€ • Alternate (u.a. AKRacing Master Pro Deluxe 449,98€) • Seagate FireCuda 530 1 TB (PS5) 189,90€ • RTX 3070 989€ • The A500 Mini 189,90€ • Intel Core i9 3.7 459,50€ • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /