Apple reduziert seine Belohnungen für gemeldete Sicherheitslücken in macOS und sorgt damit für Kritik aus der Sicherheitsforschung.
Der bekannte Sicherheitsforscher Csaba Fitzl machte auf Linkedin darauf aufmerksam. Besonders betroffen sind Lücken beim Datenschutzframework TCC, die früher mit bis zu 30.500 US Dollar vergütet wurden und jetzt nun nur noch 5.000 US Dollar einbringen. Für sogenannte „Sandbox Escape“-Schwachstellen wurden die Prämien halbiert. Fitzl wirft Apple vor, damit den Stellenwert von Datenschutz unter macOS zu untergraben.
Künftig weniger Sicherheitsschutz bei macOS?
Der Forscher befürchtet, dass sich künftig weniger Experten mit der Suche nach macOS-Schwachstellen beschäftigen werden. Schon jetzt sei die Zahl entsprechender Forscher gering. Niedrigere Prämien könnten dazu führen, dass Funde nicht mehr an Apple gemeldet, sondern die Informationen an Dritte verkauft werden. Fitzl sieht darin ein falsches Signal des Konzerns.
Während Apple bei macOS kürzt, wurden die Sicherheitsfund-Prämien für iOS allerdings zuletzt erhöht. Beobachter vermuten daher eine klare Schwerpunktverlagerung auf Mobilgeräte. Fitzl kritisiert diesen Kurs scharf und spricht von einer Abwertung der Mac-Plattform insgesamt.
Millionen für schwere iPhone Schwachstellen
Für besonders schwere Sicherheitslücken in iOS zahlt Apple weiterhin bis zu zwei Millionen US Dollar. Diese Höchstsumme gilt etwa für Angriffe ohne Nutzerinteraktion auf Kernel-Ebene. Dennoch locken externe Daten-Händler teils mit noch höheren Beträgen, was die Sorgen in der Sicherheitscommunity aktuell weiter verstärkt.
Hinweis: Artikel enthält Affiliate-Links. Was ist das? Foto: Pixabay