Bisher haben Firmen, darunter auch Facebook, Google und Microsoft, beim sogenannten Bug-Bounty-Programm für gefundene Lücken in Software und Betriebssystemen, die ohne Umweg direkt an den jeweiligen Hersteller gemeldet wurden, Belohnungszahlungen geleistet. Apple hielt sich dabei stets distanziert – bis jetzt. Ab September will auch Apple für gefundene Sicherheitslücken bezahlen – sofern sie direkt an Apple und nicht an andere Institutionen (Anm. zum Beispiel das FBI) gemeldet werden.
Das Nachweisen von Sicherheitslücken ist Apple Prämien wert
- Wer es schafft, eine Sicherheitslücke in der “secure boot firmware” nachzuweisen, soll bis zu 200.000 US-Dollar erhalten.
- Bei nachgewiesenen Sicherheitslücken zur “Secure Enclave” des iPhones winken bis zu 100.000 US-Dollar.
- Bei erfolgreichem Ausführen von Schadcode mit Kernel Privilegien sind bis zu 50.000 US-Dollar drin.
- Das Kompromittieren der iCloud ist Apple ebenfalls bis zu 50.000 US-Dollar wert.
- Für das Ausbrechen von Apps aus der Sandbox zahlt Apple bis zu 25.000 US-Dollar
(Quelle: Ars Technica)
Um eine der Prämien von Apple zu erhalten muss der Fehler reproduzierbar sein und zusammen und ein proof-of-concept bei Apple eingereicht werden.
Bei Spenden verdoppelt Apple die Zahlung
Sollte sich ein Entdecker einer Sicherheitslücke entschliessen seine Prämie einem guten Zweck spenden zu wollen, legt Apple einem Bericht von ifun.de zufolge bei dieser Transaktion die selbe Summe noch einmal drauf.
