3 Monate Arbeit für $50.000: IT-Spezialisten finden Sicherheitslücken bei Apple

IT-Forensiker Sam Curry und vier weitere Personen haben in den vergangenen drei Monaten nichts anderes getan, als Sicherheitslücken in Apples Web-Infrastruktur aufzuspüren. 55 Sicherheitslücken spürten sie auf. Dank Apples Belohnungssystem bekamen sie für einige davon auch Geld. Über 50.000 US-Dollar erhielten die fünf Personen bislang.

Sicherheitslücken aufgespürt, Bild: CC0

Weiter Zahlungen Apples an das Team um Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb und Tanner Barnes sind jedoch nicht ausgeschlossen.

55 Sicherheitslücken in drei Monaten aufgespürt

Die IT-Spezialisten fanden nach drei Monaten der Suche insgesamt 55 Sicherheitslücken in Apples Web-Infrastruktur. 11 davon wurden als „kritisch“ eingestuft, weitere 29 immerhin als „schwerwiegend“.

Nicht zu allen Lücken äußerte sich Curry nun, manche Details müssten verborgen bleiben. Doch wir erfahren trotzdem einiges.

Betroffen seien sowohl Anwendungen von Kunden als auch Mitarbeitern gewesen. So hätte man einen Wurm injizieren können, der automatisch die iCloud-Identität einer Person übernehmen konnte. Auch hätten die fünf Beteiligten an Quellcode von internen Apple-Projekten gelangen können und die Software vollständig lahmlegen können, mit denen Apple seinen Warenfluss in Lagerhäusern steuert.

Apple reagiert schnell

Die IT-Spezialisten geben an, dass Apples Support sehr kommunikativ war und bei kritischen Sicherheitslücken schnell reagiert. Oft gab es binnen weniger Stunden eine Rückmeldung und wurden die Lücken binnen ein oder zwei Arbeitstagen geschlossen.

Aufwand lohnt sich

Bis einschließlich 4. Oktober bekamen Curry und sein Team bereits 51.500 US-Dollar von Apple überwiesen. Weitere Zahlungen sind offenbar nicht ausgeschlossen. So hat sich der Aufwand für die fünf Beteiligten durchaus gelohnt.

Zum jetzigen Tag wurden alle 55 Sicherheitslücken von Apple geschlossen.

Erst kürzlich gab es Hinweise darauf, dass auch Apples T2-Chip anfällig für Angriffe sei, und aber die Möglichkeit, die Lücke zu schließen, nur in Änderungen im Hardwaredesign besteht.