Apple lernt: Bug bounty-Programm wird auf macOS, watchOS und tvOS ausgedehnt und Belohnungen erhöht

Jonny Random, den 11. August 2019
Sicherheit - Schloss mit binären Zahlen - Symbolbild
Sicherheit – Schloss mit binären Zahlen – Symbolbild

Apple erweitert sein Bug Bounty-Programm: In Zukunft wird man auch für entdeckte Lücken in macOS, watchOS und tvOS Geld an die Entdecker zahlen – gutes Geld. Die Revision war in den Augen vieler unabhängiger Experten lange überfällig.

Die diesjährige Black Hat-Sicherheitskonferenz in Las Vegas war wieder Anlass für einige interessante Demonstrationen und Bekanntmachungen. Auch Apple nutzte die Veranstaltung, um eine für Sicherheitsforscher höchst interessante Revision seines Bug Bounty-Programms zu verkünden, also der Kampagne, die Entdeckern potenter Schwachstellen in Softwareprodukten ein einträgliches Auskommen sichern kann. Bislang war Apple hier im Branchenvergleich eher geizig und zudem recht umständlich bei der Zusammenarbeit: Gezahlt wurde ausschließlich für entdeckte Lücken in iOS und das auch nur an Personen, die sich vorher auf recht langwierigen Wegen für das Programm von Apple registriert hatten.

Zumindest die Höhe der Gelder und auch die Beschränkungen auf iOS haben sich nun verändert.

Apple zahlt mehr und auch für Lücken außerhalb von iOS

Zunächst wird Apple in Zukunft auch für Lücken zahlen, die in macOS, watchOS und tvOS entdeckt wurden. Im Fall von macOS hatte die Weigerung, dies zu tun, in der Vergangenheit schon für Ärger gesorgt. Ein deutscher Jugendlicher weigerte sich, die Eigenschaften einer entdeckten Lücke an Apple zu melden, weil man ihm kein Geld zahlen wollte. Auch wird in Zukunft die Höhe der Beträge angepasst: War bislang die maximal mögliche Summe auf 200.000 Dollar gedeckelt, liegt das Limit nun bei einer Million Dollar.

Die Höchstsumme gibt es für besonders üble Schwachstellen: ZeroDay-Lücken, die keine Nutzerinteraktion erfordern. Die Änderungen werden bis ende des Jahres umgesetzt.


Ähnliche Nachrichten