Apple bezahlte 75.000 Dollar für das Aufdecken eines Kamera-Exploits

Apple zahlte einem Sicherheitsforscher 75.000 Dollar für die Identifizierung mehrerer Zero-Day-Schwachstellen in seiner Software, von denen einige laut Forbes dazu benutzt werden könnten, die Kamera eines MacBooks oder eines iPhones zu kapern.

Kopfgeld auf Bugs

Eine Zero-Day-Schwachstelle bezieht sich auf eine Sicherheitslücke in Software, die dem Softwareentwickler und der Öffentlichkeit unbekannt ist. Dabei wurde sie möglicherweise bereits von Angreifern erkannt und stillschweigend ausgenutzt. Der Sicherheitsforscher Ryan Pickren entdeckte eine solche Schwachstelle in Safari.

Der Bug-Jäger fand insgesamt sieben Exploits. Die Schwachstellen umfassten dabei Methoden, wie Safari die Uniform Resource Identifiers analysiert, die Webherkunft verwaltet und sichere Kontexte initialisiert. Dabei ermöglichten drei davon den Zugriff auf die Kamera. Möglich ist dies über Schadcode, den sich Nutzer über den Besuch einer bösartigen Webseite einfangen können. Pickren berichtete im Dezember 2019 über seine Forschung im Rahmen des Bug Bounty Programms von Apple. Das Unternehmen validierte alle sieben Fehler umgehend und lieferte einige Wochen später einen Patch.

Apple hatte sein Bug Bounty Programm im Dezember 2019 für alle Sicherheitsforscher geöffnet. Zuvor war das Programm einladungsbasiert und nur für iOS-Geräte gedacht. Mit der Ausweitung des Programms erhöhte Apple auch die mögliche Prämie von 200.000 Dollar pro Fehler auf 1 Million Dollar, abhängig von der Art des Sicherheitsmangels. Forscher, die vor der allgemeinen Veröffentlichung Schwachstellen in der Pre-Release-Software entdecken, können sich für eine Bonusauszahlung von bis zu 50 Prozent auf den Basis-Bug-Bounty-Betrag qualifizieren.