Apples Security-Chef Ivan Krstic stahl vergangenen Sommer bei einer der weltweit größten Hackerkonferenzen allen anderen mit einer unerwarteten Bekanntmachung die Show. Auf der Black Hat-Konferenz verkündete er, dass Apple endlich ein Bounty-Programm aufsetzen wollte, um Hacker zu motivieren, Sicherheitslücken direkt an Apple zu melden.Für diese Ankündigung erntete Krstic damals tosenden Applaus. Doch fast ein Jahr später scheint das Programm mit Startschwierigkeiten zu kämpfen – denn bisher gibt es noch keinen öffentlichen Nachweis dafür, dass auch nur ein einziger Hacker eine Prämie eingefordert hat.
Anzeige
Folgt Motherboard auf Facebook, Instagram, Snapchat und TwitterGenerell sind die Sicherheitsstandards bei Apple so hoch, dass es sehr schwer ist, irgendwelche Bugs zu finden. Daher bringt jede Sicherheitslücke auf dem sogenannten Grauen Markt viel Geld ein – obwohl der Handel mit den Bugs nicht direkt illegal ist, unterliegen sie keiner gesetzlichen Kontrolle und bewegen sich somit in einer rechtlichen Grauzone. Sicherheitsforscher, mit denen wir gesprochen haben, sind von der Idee, Sicherheitslücken direkt an Apple zu melden, nicht gerade begeistert. Das liegt zum einen am finanziellen Wert der Bugs, aber auch daran, dass es Hacker daran hindern könnte, Sicherheitslücken überhaupt weiter zu erforschen."Man bekommt mehr Geld, wenn man die Bugs an andere verkauft", sagt Nikias Bassen, ein Sicherheitsforscher für das Unternehmen Zimperium, der sich vergangenes Jahr dem Apple-Programm anschloss. "Wenn du deine Forschung nur fürs eigene Portemonnaie machst, wirst du die Sicherheitslücken nicht direkt an Apple weitergeben."Patrick Wardle sieht das ganz ähnlich. Der ehemalige NSA-Hacker und Forscher bei Synack hat sich inzwischen auf MacOS-Forschung spezialisiert und wurde ebenfalls von Apple zu dem Programm eingeladen. Auch er meint, dass iOS-Bugs "viel zu wertvoll sind", um sie direkt an Apple zu melden.Zusätzlich zu Wardle und Bassen haben wir mit acht Bug-Jägern aus dem Apple-Programm gesprochen, die anonym bleiben möchten. Ihren Angaben nach hat niemand von ihnen bisher eine Sicherheitslücke an Apple gemeldet – und ihnen sind auch keine anderen Fälle bekannt. Apple selbst lehnte eine Stellungnahme zu dem Thema ab.
Anzeige
Apples Kopfgeldjäger – ein exklusiver Club
Das Treffen markierte eine große Zeitenwende, denn Sicherheitsforscher und Experten hatten schon lange kritisiert, dass Apple als einziger der Technik-Giganten immer noch kein Bug-Bounty-Programm hatte. Microsoft, Google, Facebook und zahllose andere kleinere Firmen haben bereits seit Jahren solche Programme und bieten unabhängigen Hackern teils sehr lukrative Summen dafür, Sicherheitslücken an die betroffenen Unternehmen zu melden, statt sie an andere zu verkaufen.Auch das FBI hat schon Hacker engagiert, um Apple-Geräte zu knacken. Im vergangenen Jahr weigerte sich Apple monatelang, die iPhone-Verschlüsselung des San Bernardino-Schützen auszuhebeln, der 14 Menschen getötet und 22 weitere verletzt hatte. Um das iPhone schließlich hacken zu können, zahlte das FBI eine saftige Summe an einen unbekannten, unabhängigen Sicherheitsforscher, der eine Sicherheitslücke gefunden hatte. Damals stellte die New York Times die These auf, dass es nur deswegen Blackhat-Hacker gäbe, die Exploits zum Verkauf anbieten, weil sie keinen Anreiz hätten, sie direkt an Apple zu melden."Wenn ich meine eigenen Bugs unschädlich mache, kann ich auch nicht weiter forschen"
Anzeige
Scheitert Apple am eigenen Perfektionismus?
So viel zahlt Apple für gemeldete Bugs
Das klingt vielleicht erstmal nach viel Geld. Doch den Hackern, mit denen wir gesprochen haben, sind Apples Prämien viel zu niedrig. Auf dem privaten, Grauen Markt wird beispielsweise eine Methode, die aus verschiedenen Bugs besteht und ein iPhone jailbreaken kann, für 1,5 Millionen US-Dollar gehandelt. Solche Exploits sind es, die Unternehmen wie Zerodium von Forschern einkaufen und an Kunden weiterverkaufen. Eine andere Firma, Exodus Intelligence, bietet bis zu 500.000 US-Dollar für einen vergleichbaren iOS-Exploit. Angeblich werden diese Dienste nur an Unternehmen verkauft, die damit ihr eigenes Netzwerk schützen wollen, oder an Polizeibehörden und Geheimdienste, um sie beim Hacken hochrangiger Ziele zu unterstützen. Nachprüfbar ist das jedoch nur schwer.
Anzeige
Es ist denkbar, dass einige Hacker bereits Apples Bug-Bounty-Programm genutzt haben, jedoch nicht öffentlich darüber sprechen wollen. Das liegt jedoch nicht an ihrer Vereinbarung mit Apple, denn darin wird ihnen nicht explizit untersagt, über die Exploits zu reden. Der Vertrag, den uns ein Sicherheitsforscher zeigte, bittet die Hacker nur, ausschließlich geschlossene Sicherheitslücken öffentlich zu diskutieren und ihr Statement vorher mit Apple abzusprechen. Normalerweise teilen Sicherheitsforscher ihre Funde gerne mit der Öffentlichkeit, vor allem, wenn sie eine Sicherheitslücke in der vermeintlich sichersten Software der Welt gefunden haben. Damit können sie ihren Ruf als talentierter Hacker festigen – und natürlich auch damit angeben."Apple muss mit dem echten Wert ihrer Bugs mithalten, wenn es sie kaufen möchte"
"Apple muss mit dem echten Wert ihrer Bugs mithalten, wenn es sie kaufen möchte", findet Dan Guido, der CEO des Cybersecurity-Forschungsunternehmens Trail of Bits. "Sie versuchen, Lücken, die ihnen das Genick brechen könnten, für gerade mal 200.000 US-Dollar zu kaufen. Aber die sind einfach mehr wert."Das Bug-Bounty-Programm zahlt sich für die Hacker also schlichtweg nicht aus. Guido hat selbst an der iOS-Sicherheit geforscht und kennt das System nur zu gut. Er glaubt, dass die Apple-Systeme so sicher sind, dass es selbst nach einer wochen- oder monatelangen Suche sehr unwahrscheinlich sei, auf einen Fehler zu stoßen. Sollte man doch irgendwann eine Sicherheitslücke finden, ist diese der Firma gerade mal 200.000 US-Dollar wert. Die meisten Hacker sind jedoch nicht bereit, viel Zeit für eine so mickrige Prämie zu verschwenden.
Anzeige
Das Geld ist nicht der einzige Grund
"Entweder meldest du die Bugs, die du gefunden hast, und schaltest sie damit aus, oder du meldest sie nicht. Damit machst du dir das Leben nicht unnötig schwer und kannst weiter forschen", bestätigt uns auch ein anderer Forscher, der von Apple zum Bounty-Programm eingeladen wurde. "Oder du verkaufst sie an eine unabhängige Firma, dann verschwendest du nicht zwei oder drei Bugs für gerade mal 50.000 US-Dollar."Mehrere Teilnehmer des Programms erzählten uns, dass sie Apples Sicherheitsteam um spezielle iPhones baten, die weniger sicher sind und somit leichter zu hacken seien. Bei solchen Geräten sind bestimmte Einstellungen deaktiviert, um Sicherheitsforschern die Arbeit zu erleichtern. Doch bislang scheint Apple nicht gewillt, die Forscher mit solchen speziellen Geräten auszustatten.
Wie Apple mehr Hacker ködern könnte
Anzeige
Ebenfalls auf Motherboard: Diese Meisterin des Lötkolbens rettet alte iPhones
Die Hacker sind sich einig, dass Apple es schwer haben wird, mehr unabhängige iPhone-Hacker an ihr Programm zu binden, wenn sie keine speziellen Geräte bereitstellen oder wenigstens weitere Leute dazu einladen."Apple hat was Neues ausprobiert und den Leuten große Prämien für funktionsfähige Angriffe versprochen. Aber sie haben den Bounty-Markt nicht richtig interpretiert oder die Beweggründe der Leute nicht verstanden, die ihnen helfen sollen", meint Guido.Einerseits spräche es zwar für die hohe Sicherheit des iPhones, dass bisher so wenige Bugs eingereicht wurden, meint Guido. Andererseits sei es vielleicht auch ein Zeichen, dass Apple sein Bounty-Programm überdenken und mehr Leute an Bord holen müsse:
"[Apple] vermittelt die Nachricht 'Hey, dieses Programm ist nur für exklusiv ausgewählte Menschen', obwohl sie eigentlich jeden damit erreichen wollen", sagt Guido. "Hier müssen sie etwas tun, in dem Apple schlecht ist: Sie müssen ihre Geheimniskrämerei lassen und die Werbetrommel für das Programm rühren."
Die Hacker sind sich einig, dass Apple es schwer haben wird, mehr unabhängige iPhone-Hacker an ihr Programm zu binden, wenn sie keine speziellen Geräte bereitstellen oder wenigstens weitere Leute dazu einladen."Apple hat was Neues ausprobiert und den Leuten große Prämien für funktionsfähige Angriffe versprochen. Aber sie haben den Bounty-Markt nicht richtig interpretiert oder die Beweggründe der Leute nicht verstanden, die ihnen helfen sollen", meint Guido.Einerseits spräche es zwar für die hohe Sicherheit des iPhones, dass bisher so wenige Bugs eingereicht wurden, meint Guido. Andererseits sei es vielleicht auch ein Zeichen, dass Apple sein Bounty-Programm überdenken und mehr Leute an Bord holen müsse:
"[Apple] vermittelt die Nachricht 'Hey, dieses Programm ist nur für exklusiv ausgewählte Menschen', obwohl sie eigentlich jeden damit erreichen wollen", sagt Guido. "Hier müssen sie etwas tun, in dem Apple schlecht ist: Sie müssen ihre Geheimniskrämerei lassen und die Werbetrommel für das Programm rühren."