Geiz ist geil: Apple reduziert das Bug-Kopfgeld, Teilnehmer sind sauer
Apple senkt überraschend die Prämien für das Melden von Lücken in MacOS drastisch, obwohl Experten vor steigenden Bedrohungen warnen. Die neuen Vergütungssätze könnten Forscher demotivieren und erste Sicherheitsforscher sind sauer.
Die Anpassungen im Vergütungssystem fallen drastisch aus und betreffen Kernbereiche der Systemsicherheit. Wurden für komplexe Angriffsketten zuvor attraktive Prämien gezahlt, liegen die neuen Sätze oft nur noch bei einem Bruchteil der ursprünglichen Werte.
Das Bug-Bounty-Programm, das erst 2016 startete und 2019 für alle Sicherheitsforscher geöffnet wurde, galt lange als lukrativer Anreiz für ethische Hacker. Kritiker befürchten deshalb, dass durch die fehlenden finanziellen Anreize weniger Experten ihre Zeit in die tiefgehende Analyse von MacOS investieren werden, was das System langfristig anfälliger für Angriffe machen könnte.
Wie 9to5Mac unter Berufung auf Csaba Fitzl auf LinkedIn berichtet, sinkt unter anderem die Prämie für einen vollständigen Bypass des TCC-Systems von ehemals bis zu 30.500 Dollar (etwa 26.200 Euro) auf pauschal 5000 Dollar (etwa 4300 Euro). Fitzl, ein renommierter Sicherheitsforscher im Apple-Umfeld, wertet dies als klares Signal. Er sieht darin ein Indiz dafür, dass Apple den Datenschutz auf dem Mac entweder nicht mehr priorisiert oder schlichtweg nicht gewillt ist, marktgerechte Preise für dessen Absicherung zu bezahlen.
Auch die Prämien für sogenannte Sandbox-Escapes wurden drastisch beschnitten. Die Belohnung hierfür wurde von ehemals 10.000 Dollar (etwa 8600 Euro) auf ebenfalls 5000 Dollar halbiert. Solche Sicherheitsmechanismen wie TCC, Sandbox und Gatekeeper bilden die Verteidigungslinien gegen Malware - werden Schwachstellen hier nicht gemeldet, bleiben Nutzer potenziell ungeschützt.
Die Reduzierung der Prämien birgt jedoch ein ökonomisches Risiko: Wenn Apple offizielle Meldungen schlechter vergütet als der graue Markt, könnte der Verkauf von Sicherheitslücken an Broker attraktiver werden. Auf dem Schwarzmarkt zahlen Akteure oft das Zehnfache für funktionierende Exploits, die dann für gezielte Angriffe, staatliche Überwachung oder Spionage-Software genutzt werden.
Was haltet ihr von Apples neuer Strategie? Ist die Reduzierung der Prämien ein gefährliches Signal oder verlässt sich der Konzern zu Recht auf andere Abwehrmechanismen? Diskutiert mit uns in den Kommentaren.
Siehe auch:
Kahlschlag beim Bug-Bounty-Programm
Apple hat ohne große Ankündigung signifikante Änderungen an seinem "Apple Security Bounty"-Programm vorgenommen, die weitreichende Konsequenzen für die Sicherheit des Mac-Betriebssystems haben könnten. Während der Konzern in der Vergangenheit hohe fünfstellige Summen für das Aufspüren kritischer Fehler ausschüttete, wurden die Belohnungen für spezifische MacOS-Schwachstellen nun massiv reduziert. Dieser Schritt erfolgt paradoxerweise zu einem Zeitpunkt, an dem Sicherheitsfirmen einen deutlichen Anstieg von Infostealer-Malware verzeichnen, die gezielt auf Apples Desktop-Plattform angesetzt wird.Die Anpassungen im Vergütungssystem fallen drastisch aus und betreffen Kernbereiche der Systemsicherheit. Wurden für komplexe Angriffsketten zuvor attraktive Prämien gezahlt, liegen die neuen Sätze oft nur noch bei einem Bruchteil der ursprünglichen Werte.
Das Bug-Bounty-Programm, das erst 2016 startete und 2019 für alle Sicherheitsforscher geöffnet wurde, galt lange als lukrativer Anreiz für ethische Hacker. Kritiker befürchten deshalb, dass durch die fehlenden finanziellen Anreize weniger Experten ihre Zeit in die tiefgehende Analyse von MacOS investieren werden, was das System langfristig anfälliger für Angriffe machen könnte.
Wie 9to5Mac unter Berufung auf Csaba Fitzl auf LinkedIn berichtet, sinkt unter anderem die Prämie für einen vollständigen Bypass des TCC-Systems von ehemals bis zu 30.500 Dollar (etwa 26.200 Euro) auf pauschal 5000 Dollar (etwa 4300 Euro). Fitzl, ein renommierter Sicherheitsforscher im Apple-Umfeld, wertet dies als klares Signal. Er sieht darin ein Indiz dafür, dass Apple den Datenschutz auf dem Mac entweder nicht mehr priorisiert oder schlichtweg nicht gewillt ist, marktgerechte Preise für dessen Absicherung zu bezahlen.
Technische Hürden und TCC-Details
Das von den Kürzungen betroffene TCC-Framework (Transparency, Consent, and Control) ist ein zentraler Baustein der modernen MacOS-Sicherheitsarchitektur. Es stellt sicher, dass Anwendungen nur mit ausdrücklicher Zustimmung des Nutzers auf sensible Daten wie das Adressbuch, Kalender, Fotos oder Hardwarekomponenten wie Kamera und Mikrofon zugreifen dürfen. Diese Berechtigungen werden in einer eigenen SQLite-Datenbank verwaltet, die durch den Systemintegritätsschutz (SIP) zusätzlich abgesichert ist. Eine Schwachstelle in diesem Bereich ermöglicht es Schadsoftware, diese digitalen Barrieren ohne Wissen des Anwenders zu umgehen und im Hintergrund Daten auszuleiten.Auch die Prämien für sogenannte Sandbox-Escapes wurden drastisch beschnitten. Die Belohnung hierfür wurde von ehemals 10.000 Dollar (etwa 8600 Euro) auf ebenfalls 5000 Dollar halbiert. Solche Sicherheitsmechanismen wie TCC, Sandbox und Gatekeeper bilden die Verteidigungslinien gegen Malware - werden Schwachstellen hier nicht gemeldet, bleiben Nutzer potenziell ungeschützt.
Ungleichgewicht zwischen iOS und Mac
Beobachter der Szene vermuten, dass Apple den Fokus und das Budget noch stärker auf das iPhone verlagert. Tatsächlich wurden die maximalen Belohnungen für bestimmte iOS-Exploits, insbesondere solche, die ohne jegliche Nutzerinteraktion (Zero-Click) funktionieren, kürzlich auf bis zu zwei Millionen Dollar (etwa 1,72 Millionen Euro) angehoben. Diese enorme Diskrepanz verdeutlicht, dass das Unternehmen mobile Geräte, die den Großteil des Konzernumsatzes generieren und noch engmaschigeren Restriktionen unterliegen, als deutlich sicherheitskritischer einstuft als die offenere Desktop-Sparte.Die Reduzierung der Prämien birgt jedoch ein ökonomisches Risiko: Wenn Apple offizielle Meldungen schlechter vergütet als der graue Markt, könnte der Verkauf von Sicherheitslücken an Broker attraktiver werden. Auf dem Schwarzmarkt zahlen Akteure oft das Zehnfache für funktionierende Exploits, die dann für gezielte Angriffe, staatliche Überwachung oder Spionage-Software genutzt werden.
Was haltet ihr von Apples neuer Strategie? Ist die Reduzierung der Prämien ein gefährliches Signal oder verlässt sich der Konzern zu Recht auf andere Abwehrmechanismen? Diskutiert mit uns in den Kommentaren.
Zusammenfassung
- Apple senkt drastisch die Prämien für gemeldete Sicherheitslücken bei MacOS
- Vergütung für TCC-System-Bypass fällt von bis zu 30.500 Dollar auf nur 5.000
- Bug-Bounty-Programm könnte durch reduzierte Anreize weniger Experten anziehen
- Sicherheitsforscher kritisieren die Kürzungen als Vernachlässigung des Datenschutzes
- Belohnungen für iPhone-Schwachstellen wurden hingegen auf bis zu 2 Millionen erhöht
- Schwarzmarktpreise für Sicherheitslücken liegen oft deutlich über Apples Vergütungen
Siehe auch:
- Apple behebt nerviges Touch-ID-Problem mit MacOS-Update
- Liquid Glass zu transparent: Apple ermöglicht 'Tönung' in iOS & macOS
- MacOS & Windows mit Prompt geklont? KI-Hype-News stimmt so nicht
- BSI veröffentlicht Sicherheitswarnung für Apple iOS, iPadOS und macOS
- TCC-Bypass: Microsoft meldet kritische MacOS- und iOS-Sicherheitslücke
Thema:
Neue MacOS-Videos
- Ähnlicher Preis bringt die Frage auf: MacBook Neo oder ein iPad?
- Windows 11 statt MacOS: Parallels Desktop 17 für Mac veröffentlicht
- Windows, iOS & Android: Xbox Cloud Gaming jetzt für alle verfügbar
- WWDC 2021: Die Ankündigungen von Tag 1 im Überblick
- MacOS Big Sur: Eindrücke zu den Neuerungen des Betriebssystems
Beiträge aus dem Forum
-
KeePass Der Open-Source Passwort-Manager für Windows, Linux, macOS,
d-hubs -
Wie alt sollte ein MacBook höchstens sein?
MiezMau -
Virtuellen PDF Drucker auf Macbook installieren - wie ?
Sonnenschein11 -
Surfstick für MacBook Air mit Sonoma 14
landbastler -
Win-Viren am Mac prüfen?
mondayand0 -
Kontextmenu bearbeiten
Brutschi -
Office 2019 MAC Problem
MiyaGi -
MacOS verliert bei ExFAT die Finder-Kommentare
Brutschi -
Windows Systemabbild wiederherstellen - hänge an einer Stelle :-(
der dom -
Safari springt immer wieder zum Homescreen
der dom
Beliebte Downloads
Weiterführende Links
Neue Nachrichten
- Uralter Streit um die Rechte an Unix: Ein Untoter vor Gericht
- Bentley teasert mit dem Elektro-SUV Torcal sein erstes E-Auto an
- Tesla-Fahrt in Kanada: Fahrerin schläft bei 100 km/h am Steuer
- Microsoft Xbox Game Pass: Abozahlen sind offenbar eine Katastrophe
- Rätselhafte Giganten: Euclid-Teleskop findet älteste Quasare im Kosmos
- Stark reduziert: 14 Top-Deals bei Media Markt & Saturn, die sich lohnen
- FritzOS 8.25: Auch der FritzRepeater 1610 Outdoor erhält finales Update
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen