Geiz ist geil: Apple reduziert das Bug-Kopfgeld, Teilnehmer sind sauer

Apple senkt überraschend die Prämien für das Melden von Lücken in MacOS drastisch, obwohl Experten vor steigenden Bedrohungen warnen. Die neuen Vergütungssätze könnten Forscher demotivieren und erste Sicherheitsforscher sind sauer.
Apple, Betriebssystem, Sicherheit, Sicherheitslücke, Datenschutz, Hacker, Security, Malware, Angriff, Hack, Technologie, Cybersecurity, Hacking, Macos, Wurm, Platine, Softwareentwicklung, schaltkreise, Computercode, Technische Zeichnung, Computertechnik, Digitale Schaltungen

Kahlschlag beim Bug-Bounty-Programm

Apple hat ohne große Ankündigung signifikante Änderungen an seinem "Apple Security Bounty"-Programm vorgenommen, die weitreichende Konsequenzen für die Sicherheit des Mac-Betriebssystems haben könnten. Während der Konzern in der Vergangenheit hohe fünfstellige Summen für das Aufspüren kritischer Fehler ausschüttete, wurden die Belohnungen für spezifische MacOS-Schwachstellen nun massiv reduziert. Dieser Schritt erfolgt paradoxerweise zu einem Zeitpunkt, an dem Sicherheitsfirmen einen deutlichen Anstieg von Infostealer-Malware verzeichnen, die gezielt auf Apples Desktop-Plattform angesetzt wird.

Die Anpassungen im Vergütungssystem fallen drastisch aus und betreffen Kernbereiche der Systemsicherheit. Wurden für komplexe Angriffsketten zuvor attraktive Prämien gezahlt, liegen die neuen Sätze oft nur noch bei einem Bruchteil der ursprünglichen Werte.

Das Bug-Bounty-Programm, das erst 2016 startete und 2019 für alle Sicherheitsforscher geöffnet wurde, galt lange als lukrativer Anreiz für ethische Hacker. Kritiker befürchten deshalb, dass durch die fehlenden finanziellen Anreize weniger Experten ihre Zeit in die tiefgehende Analyse von MacOS investieren werden, was das System langfristig anfälliger für Angriffe machen könnte.

Wie 9to5Mac unter Berufung auf Csaba Fitzl auf LinkedIn berichtet, sinkt unter anderem die Prämie für einen vollständigen Bypass des TCC-Systems von ehemals bis zu 30.500 Dollar (etwa 26.200 Euro) auf pauschal 5000 Dollar (etwa 4300 Euro). Fitzl, ein renommierter Sicherheitsforscher im Apple-Umfeld, wertet dies als klares Signal. Er sieht darin ein Indiz dafür, dass Apple den Datenschutz auf dem Mac entweder nicht mehr priorisiert oder schlichtweg nicht gewillt ist, marktgerechte Preise für dessen Absicherung zu bezahlen.


Technische Hürden und TCC-Details

Das von den Kürzungen betroffene TCC-Framework (Transparency, Consent, and Control) ist ein zentraler Baustein der modernen MacOS-Sicherheitsarchitektur. Es stellt sicher, dass Anwendungen nur mit ausdrücklicher Zustimmung des Nutzers auf sensible Daten wie das Adressbuch, Kalender, Fotos oder Hardwarekomponenten wie Kamera und Mikrofon zugreifen dürfen. Diese Berechtigungen werden in einer eigenen SQLite-Datenbank verwaltet, die durch den Systemintegritätsschutz (SIP) zusätzlich abgesichert ist. Eine Schwachstelle in diesem Bereich ermöglicht es Schadsoftware, diese digitalen Barrieren ohne Wissen des Anwenders zu umgehen und im Hintergrund Daten auszuleiten.

Auch die Prämien für sogenannte Sandbox-Escapes wurden drastisch beschnitten. Die Belohnung hierfür wurde von ehemals 10.000 Dollar (etwa 8600 Euro) auf ebenfalls 5000 Dollar halbiert. Solche Sicherheitsmechanismen wie TCC, Sandbox und Gatekeeper bilden die Verteidigungslinien gegen Malware - werden Schwachstellen hier nicht gemeldet, bleiben Nutzer potenziell ungeschützt.

Ungleichgewicht zwischen iOS und Mac

Beobachter der Szene vermuten, dass Apple den Fokus und das Budget noch stärker auf das iPhone verlagert. Tatsächlich wurden die maximalen Belohnungen für bestimmte iOS-Exploits, insbesondere solche, die ohne jegliche Nutzerinteraktion (Zero-Click) funktionieren, kürzlich auf bis zu zwei Millionen Dollar (etwa 1,72 Millionen Euro) angehoben. Diese enorme Diskrepanz verdeutlicht, dass das Unternehmen mobile Geräte, die den Großteil des Konzernumsatzes generieren und noch engmaschigeren Restriktionen unterliegen, als deutlich sicherheitskritischer einstuft als die offenere Desktop-Sparte.

Die Reduzierung der Prämien birgt jedoch ein ökonomisches Risiko: Wenn Apple offizielle Meldungen schlechter vergütet als der graue Markt, könnte der Verkauf von Sicherheitslücken an Broker attraktiver werden. Auf dem Schwarzmarkt zahlen Akteure oft das Zehnfache für funktionierende Exploits, die dann für gezielte Angriffe, staatliche Überwachung oder Spionage-Software genutzt werden.

Was haltet ihr von Apples neuer Strategie? Ist die Reduzierung der Prämien ein gefährliches Signal oder verlässt sich der Konzern zu Recht auf andere Abwehrmechanismen? Diskutiert mit uns in den Kommentaren.

Zusammenfassung
  • Apple senkt drastisch die Prämien für gemeldete Sicherheitslücken bei MacOS
  • Vergütung für TCC-System-Bypass fällt von bis zu 30.500 Dollar auf nur 5.000
  • Bug-Bounty-Programm könnte durch reduzierte Anreize weniger Experten anziehen
  • Sicherheitsforscher kritisieren die Kürzungen als Vernachlässigung des Datenschutzes
  • Belohnungen für iPhone-Schwachstellen wurden hingegen auf bis zu 2 Millionen erhöht
  • Schwarzmarktpreise für Sicherheitslücken liegen oft deutlich über Apples Vergütungen

Siehe auch:
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!