Ian Beer: Apple lerne nicht aus Fehlern – Unternehmen "schulde" ihm mittlerweile 2,5 Millionen Dollar an Bug Bounties

Im Project Zero hat Google einige der weltbesten Sicherheitsforscher versammelt. Ihre Aufgabe: Kritische Lücken in viel genutzter Software aufzuspüren und die Hersteller zu ihrer Behebung zu bewegen. Einer davon ist Ian Beer, der sich in den letzten Jahren mit einer Fülle von erfolgreichen Angriffen gegen iOS einen Namen gemacht hat. Und dieser übt nun schwere Kritik an dem Softwarehersteller, wie Threatpost berichtet.

Kurzsichtig

Apple lerne nicht aus früheren Fehlern, kritisiert Beer in einem Vortrag auf der Hacker-Konferenz Black Hat. In den letzten Jahren habe er allein 30 schwerwiegende Fehler in iOS gefunden. Diese habe Apple zwar immer brav gefixt, die dahinter steckenden, systemischen Probleme habe sich der iPhone-Hersteller aber nie vorgenommen.

Überhaupt kritisiert der Sicherheitsforscher, dass viele Unternehmen in Hinblick auf Sicherheitsprobleme zu kurz denken. Statt einfach nur Bugs zu fixen, sollte man sich ansehen, warum immer wieder sehr ähnliche Fehler auftreten, und versuchen daraus zu lernen. Das heißt etwa neue Maßnahmen zu entwickeln, die das aktive Ausnutzen einer Sicherheitslücke, also der Exploit, unterbunden werden. Oder aber auch strukturelle Änderungen an der eigenen Software vorzunehmen, die verhindern, dass die immergleichen Angriffe erfolgreich sind.

Schulden

Gleichzeitig kann sich Beer auch einen Seitenhieb auf Apples Bug Bounty Programm nicht ersparen. Vor zwei Jahren habe Apple dieses im Rahmen der Black Hat angekündigt, aber mit solch restriktiven Regeln versehen, dass sich bis dato nur wenige Sicherheitsforscher daran beteiligen. So verzichten etwa auch die Google-Forscher auf die Einreichung in diesem Rahmen, da man sonst die eigenen strikte Veröffentlichungspolitik – 90 Tage nach der Meldung eines Bugs – nicht einhalten könnte.

Beer erinnert Apple-Chef Tim Cook nun daran, dass das Unternehmen damals versprochen hat, auch Prämien für außerhalb dieses Programms gemeldete Bugs für eine Prämie in Erwägung zu ziehen. Seine 30 kritischen Fehler würden dabei – angesichts der sonst von Apple gebotenen Belohnungen – in Summe auf rund 2,5 Millionen Dollar kommen, diese könne Apple gerne direkt an Amnesty International spenden. Grund für diese Wahl von Beer ist, dass die Menschenrechtsorganisation erst vor kurzem von professionellen Hackern unter Beschuss genommen wurde – die sich für den Angriff passenderweise Apples iMessage bedient haben. (apo, 10.8.2018)