Kaum ein großer Softwarehersteller, der nicht mittlerweile ein eigenes Bug-Bounty-Programm betreibt. Über Prämien sollen die Entdecker von Sicherheitslücken dazu gebracht werden, Fehler in der jeweiligen Software an den Hersteller zu melden, anstatt passende Exploits an zwielichtige Kreise zu verkaufen. Vor rund einem Jahr startete denn auch Apple solch ein Programm, wie sich nun aber zeigt offenbar mit wenig Erfolg.

Kein Interesse

"iOS-Fehler sind zu wertvoll, um sie an Apple zu melden", fasst Patrick Wardle, ehemaliger NSA-Hacker und jetzt Sicherheitsforscher bei Synack, die Situation gegenüber Motherboard zusammen. Auch andere Sicherheitsexperten gestehen auf Rückfrage (und dem Versprechen der Anonymität) zu, dass sie noch nie eine ihrer Lücken an Apple gemeldet haben – und sie auch niemanden kennen, der das getan hätte.

Einfache Rechnung

Grund dafür ist, dass die Schere zwischen dem, was Apple für das Aufspüren von Sicherheitslücken in der eigenen Software zahlt, und was sich damit am Schwarzmarkt verdienen lässt, stark auseinanderklafft. Während die von Apple ausgelobten Prämien zwischen 25.000 bis 200.000 US-Dollar (für die Aushebelung von Secure Boot) rangieren, zahlen einschlägige Anbieter zwischen 500.000 bis 1,5 Millionen Dollar für eine Exploit-Kette, mit der ein am aktuellsten Softwarestand befindliches iPhone von außen komplett übernommen werden kann.

Diese Firmen verdienen dann wiederum Geld damit, dass sie die Exploits in ihre eigenen Angriffstools einbauen, und diese dann an Dritte weiterverkaufen. Zu den Hauptabnehmern gehören dabei Geheimdienste und Strafverfolgungsbehörden, aber auch in kriminellen Kreisen herrscht ein reger Handel mit solchen Angriffsprogrammen.

Preistreiberei

Zu einem gewissen Teil ist Apple damit ein Opfer seines eigenen Erfolges. Der Umstand, dass iPhones aufgrund der strikten Sicherheitspolitik des Unternehmens und der raschen Auslieferung von Updates nur mehr schwer zu knacken sind, treibt auch die Preise für Exploits in die Höhe. Zum Vergleich: Für ähnliche Lücken in Android gibt es bei Zerodium "nur" 200.000 US-Dollar, bei Bugs für Windows, macOS oder Linux liegt der Maximalbetrag gar bei 30.000 US-Dollar. (apo, 10.7.2017)