Apple hat eine umfassende Überarbeitung seines Bug-Bounty-Programms angekündigt.
Sie wird ab November in Kraft treten. Mit der Reform strebt Apple eine höhere Attraktivität des Programms für die Sicherheitsforschung an und betont, dass bislang bereits über 35 Millionen US-Dollar an mehr als 800 Forscher ausgezahlt wurden.
Die Neuerungen dürften die Teilnahme spannender machen und die Entdeckung komplexerer Angriffsszenarien fördern.
Künftig wird die maximale Belohnung für ausgeklügelte Exploit-Ketten, wie sie in Spionagesoftware eingesetzt werden, auf zwei Millionen US-Dollar festgelegt – eine Verdopplung gegenüber bisherigen Höchstbeträgen.
Fokus auf Exploit-Ketten statt Einzelschwachstellen
Statt nur einzelne Fehler zu vergüten, richtet Apple das Programm stärker auf vollständige Angriffsketten aus. Diese Art von Angriffen kombiniert mehrere Schwachstellen, wie es in der Praxis häufig vorkommt.
Ferner werden Remote-Zugriffsvektoren höher bewertet, während Fehlerkategorien mit geringer Relevanz weniger stark dotiert werden.
„Target Flags“ und schnellere Auszahlungen
Neu sind „Target Flags“, inspiriert von Capture-the-Flag-Wettbewerben: Sicherheitsforscher können mit ihnen dokumentieren, welche Zugriffslevel sie erreicht haben (z. B. Codeausführung oder beliebiges Lesen/Schreiben).
Apple kann diese Flags bestätigen und damit unverzüglich eine Belohnung auslösen – unabhängig davon, ob die gemeldete Schwachstelle bereits behoben ist. Dies ersetzt die bisherige Praxis, bei der Forscher oft erst zur Auszahlung kamen, wenn Apple einen Fix implementiert hatte.
Erweiterung von Angriffsszenarien und Bonuskategorien
Das überarbeitete Programm erweitert die Dotierung auch auf neue Exploit-Klassen: So sollen etwa One-Click-Ausbrüche aus dem WebKit-Sandbox-Modus mit bis zu 300.000 US-Dollar prämiert werden.
Drahtlose Exploits über Funkverbindungen können künftig mit bis zu 1 Million US-Dollar bewertet werden. Ein vollständiger Gatekeeper-Bypass unter macOS bringt künftig eine Belohnung von 100.000 US-Dollar.
Hinweis: Artikel enthält Affiliate-Links. Was ist das? Foto: Apple