Apple bei iOS-Sicherheit zu schlampig: Bugjäger fordert Geld für entdeckte Lücken, um es zu spenden
Ian Beer ist Sicherheitsforscher mit Schwerpunkt iOS. Er hat bereits gut zwei Dutzend kritische Lücken in iOS entdeckt und an Apple gemeldet, bekam dafür aber nur warme Worte. Nun fordert er Geld.
Apples Umgang mit Sicherheitsfragen und der Gemeinde der Sicherheitsforscher ist durchaus umstritten. Klar ist, Apple hat sich in den letzten Jahren geöffnet und ist auf die Community zugegangen.
Es gibt heute ein Programm zur Belohnung verantwortungsbewusster Hacker, die kritische Fehler in iOS, macOS und co. nicht nur finden, sondern auch an Apple melden.
Die gezahlten Summen liegen jedoch unter dem, was der Rest der Branche zahlt, was einige Spezialisten verärgert. Schwerer wiegt für viele aber, dass Apple hier reichlich bürokratisch, geradezu pedantisch vorgeht, was dazu führt, dass viele Entdecker von Sicherheitsproblemen leer ausgehen.
Google-Forscher verlangt Geld
Das stößt auch Ian Beer sauer auf: Er ist im Auftrag von Google auf der Suche nach Bugs.
Google verfolgt mit seinem Project Zero bei kritischen Schwachstellen eine einfache, aber wirkungsvolle Politik: Wenn etwas gefunden wird, wird der Betroffene informiert.
Ihm bleiben dann 90 Tage Zeit, das Problem abzustellen, danach wird die entdeckte Lücke öffentlich.
Dieser Kurs ist zwar hart, hat aber über die letzten Jahre viele veritable Sicherheitsalpträume zum Verschwinden gebracht. Apple braucht sich hier zumeist keine Sorgen zu machen: bis auf einige unrühmliche Ausnahmen sind alle entdeckten kritischen Bugs weit vor der Zeit beseitigt.
30 Lücken hatte Ian Beer in den letzten Jahren in iOS entdeckt und an Apple gemeldet, doch Geld hat er hierfür keins gesehen. Der Grund: Er war nicht von Apple als Bugsucher eingeladen worden.
Gefahr für Menschenrechtler
Legt man Apples Vergütungsgliederung zugrunde, hätte er mit den gefundenen Bugs rund 1,2 Millionen Dollar eingenommen. diese möchte er aber nun interessanterweise nicht für sich reklamieren, denn in Apples Richtlinien gibt es eine Besonderheit: Entscheiden sich die entlohnten Entdecker dazu, ihr Preisgeld zu spenden, wird der Betrag von Apple verdoppelt.
Die so entstehende Summe von knapp zweieinhalb Millionen Dollar hätte er an Amnesty International gespendet, wenn Beer sie erhalten hätte.
Apple tut zu wenig
Damit möchte er darauf aufmerksam machen, dass vor allem Menschenrechtler und Aktivisten von Sicherheitslücken betroffen werden können, die Apple längst hätte beheben müssen. Doch das Unternehmen verlasse sich viel zu sehr auf externe Kräfte wie ihn und betreibe kaum eigene Bemühungen, seine Produkte sicherer zu machen, kritisierte der Fachmann.
Ob seine Worte zu einer Änderung der Unternehmenskultur in Cupertino beitragen werden, steht indes dahin.
-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.
2 Kommentare zu dem Artikel "Apple bei iOS-Sicherheit zu schlampig: Bugjäger fordert Geld für entdeckte Lücken, um es zu spenden"
-
Tom 11. August 2018 um 08:53 Uhr ·Traurig wenn der wertvollste Tech-Konzern, Leute die auf seiner Seite stehen, so mißachtet. Und somit nicht verwunderlich dass Bugs daraufhin finanziell lieber ausgeschlachtet würden, statt zu melden!iLike 9
-
Rossi 01 11. August 2018 um 12:52 Uhr ·@ Traurig ist was Google / Android unter Sicherheit versteht. Das ist nicht traurig das ist ein Armutszeugnis.iLike 3
-