• Höchstprämie 2 Millionen US-Dollar für komplexe Exploit Ketten
• Target Flags (CTF artig) ermöglichen schnelle Verifikation und Auszahlung im nächsten Zyklus
• Fokus auf vollständige, realitätsnahe Angriffe

Neuer Fokus: Komplette Exploit Ketten

In Apples Bug Bounty Programm werden Sicherheitsforscher und "White-Hat-Hacker" finanziell belohnt, wenn sie Schwachstellen (Bugs) in den Betriebssystemen (wie iOS, macOS, watchOS, tvOS), der Hardware oder den Services des IKonzerns finden und verantwortungsvoll an das Unternehmen melden.

Das aktualisierte Programm zur Belohnung von Schwachstellenmeldungen legt den Fokus stärker auf die Meldung vollständiger Exploit Ketten anstelle von einzelnen Schwachstellen, die als CVEs (Common Vulnerabilities and Exposures, standardisierte Bezeichner für öffentlich bekannte Informationssicherheitslücken - jede erfasste Schwachstelle erhält eine eindeutige ID) katalogisiert werden. Exploit Ketten sind dabei mehrere miteinander verknüpfte Schwachstellen, die zusammen eine Kompromittierung eines Systems ermöglichen. Dies honoriert Apple höher, um Forschende zu motivieren, "End-to-End"-Angriffe aufzudecken, statt nur isolierte Sicherheitslücken zu melden. Ein besonderes Augenmerk liegt dabei auf Schwachstellen, die über Remote Vektoren und in Zero Click Szenarien ausgenutzt werden können, da diese in der Praxis das größte Schadenspotenzial bieten.
Remote Vektoren sind die Angriffswege, die es einem Angreifer ermöglichen, eine Schwachstelle auszunutzen und ein System zu kompromittieren, ohne physischen Zugriff auf das Gerät zu benötigen und ohne dass der Benutzer interagieren muss (z. B. über das Internet, eine E-Mail oder eine Nachricht). Zero Click Szenarien bezeichnen Angriffsmethoden, bei denen die Kompromittierung eines Geräts ohne jegliche Interaktion des Benutzers (also "null Klicks") erfolgen kann. Ein Angreifer kann das Zielgerät infizieren oder übernehmen, allein indem er Daten sendet, zum Beispiel eine speziell präparierte Nachricht, ohne dass der Benutzer darauf klicken, sie öffnen oder eine andere Aktion ausführen muss. Diese Art von Angriffen gilt als besonders gefährlich.

Target Flags beschleunigen Verifikation und Auszahlung

Laut Apple gibt es eine Neuerung in ihrem Sicherheitsprogramm in Form der sogenannten Target Flags, konkrete, nachweisbare Beweise (Flags) dafür, dass ein Sicherheitsforscher eine spezifische Sicherheitslücke erfolgreich ausgenutzt (exploited) hat und die geforderten Sicherheitsziele erreicht wurden (Targets). Dieses System ist an Cyber-Sicherheitswettbewerb wie Capture the Flag angelehnt. In der Regel müssen Teams oder Einzelpersonen in einer simulierten Umgebung versteckte "Flags" (oft Textdateien, Hash-Werte oder spezielle Zeichenketten) finden, indem sie Schwachstellen in Softwaresystemen ausnutzen oder Kryptographie-Rätsel lösen. Apple prüft diese gesammelten Flags und, falls die Validierung erfolgreich ist, soll die Auszahlung der Belohnung nun zeitnah erfolgen. Dies stellt eine signifikante Verbesserung dar, da es die bisher oft monatelangen Wartezeiten für Forschende deutlich verkürzt.

Konkrete Kategorien und Beträge

Die Kategorie der Schwachstellenbewertung legt bestimmte Höchstbeträge fest, die für das Auffinden und Melden von Sicherheitslücken gezahlt werden. Beispielsweise können Ein Klick Sandbox Umgehungen in WebKit bis zu 300.000 US-Dollar einbringen. Eine solche Umgehung bezeichnet eine Sicherheitslücke in WebKit - der von Browsern wie Safari genutzten Engine zur Darstellung von Webseiten - die es einem Angreifer ermöglicht, durch eine einzige, vom Nutzer ausgeführte Aktion (z.B. das Klicken auf einen Link oder das Öffnen einer schädlichen Datei) die Sandbox zu verlassen. Die Sandbox ist eine isolierte Umgebung, die verhindern soll, dass schädlicher Code, der im Browser ausgeführt wird, auf das restliche Betriebssystem oder auf Nutzerdaten zugreift. Die Umgehung hebt diese Schutzmaßnahme auf.

Noch höher bewertet werden drahtlose Proximity Exploits, für die bis zu 1.000.000 US-Dollar gezahlt werden. Ein drahtloser Proximity Exploit ist eine Schwachstelle, die ausgenutzt werden kann, wenn sich das Zielgerät in physischer Nähe zum Angreifer befindet und drahtlose Kommunikationstechnologien wie Bluetooth oder WLAN verwendet werden. Der Angriff erfordert oft keine Interaktion vom Nutzer (Zero Click) und kann beispielsweise dazu dienen, unerlaubt Daten zu extrahieren oder das Gerät zu manipulieren.

Weiterhin wird eine vollständige Gatekeeper Umgehung auf macOS mit etwa 100.000 US-Dollar bewertet. Gatekeeper ist eine Sicherheitsfunktion von Apples macOS, die sicherstellen soll, dass nur vertrauenswürdige Software auf dem Mac ausgeführt wird, indem sie prüft, ob Anwendungen von identifizierten Entwicklern stammen und signiert sind. Eine vollständige Gatekeeper Umgehung liegt vor, wenn ein Angreifer diesen Mechanismus komplett aushebeln kann, um beliebige, unsignierte oder schädliche Programme ohne Warnung oder Zustimmung des Nutzers auszuführen.

Die neue Obergrenze von 2 Millionen US-Dollar gilt für besonders komplexe Zero Click RCE Ketten. Eine Zero Click RCE Kette (Remote Code Execution) ist eine extrem schwerwiegende und wertvolle Art von Schwachstelle. Zero Click bedeutet, dass der Angriff keinerlei Interaktion des Nutzers erfordert - die Übernahme des Geräts erfolgt im Stillen. RCE (Remote Code Execution) bedeutet, dass der Angreifer in der Lage ist, beliebigen Code auf dem Zielgerät auszuführen, also die vollständige Kontrolle zu erlangen. Eine Kette besteht aus mehreren aneinandergereihten Sicherheitslücken, die nacheinander ausgenutzt werden müssen, um das Endziel - die komplette Übernahme ohne Zutun des Nutzers - zu erreichen, was die Komplexität und den Wert dieser Entdeckung stark erhöht. Durch zusätzliche Bonusmechaniken sind im Einzelfall sogar noch höhere Auszahlungen als die 2 Millionen US-Dollar möglich.

Wirkung und Kontext

Seit Öffnung des öffentlichen Programms 2020 hat Apple nach eigenen Angaben mehr als 35 Millionen US-Dollar an über 800 Forschende ausgeschüttet. Die Aufstockung der Prämien und die Einführung schnellerer Auszahlungspfade signalisieren, dass Apple die Bedrohung durch professionelle Spyware ernst nimmt und erhebliche Mittel in Prävention und Kooperation mit der Security Community investiert. Zugleich soll die Neuausrichtung die Forschung auf jene Angriffsmuster lenken, die in der realen Welt am gefährlichsten sind.

Chancen und Grenzen für Forschende

Höhere Höchstprämien und schnellerer Zugang zu Auszahlungen erhöhen den Anreiz, tiefgehende Exploitketten aufzuspüren. Zugleich gilt: Nicht jede Meldung führt automatisch zu Millionenprämien. Die höchsten Auszahlungen setzen spezifische Voraussetzungen voraus (etwa die Kombination mehrerer Schwachstellen oder die Umgehung zusätzlicher Schutzmechanismen) und bleiben an Apples Validierungsprozess gekoppelt. Manche Kategorien sind bewusst niedriger dotiert, wenn sie in der Praxis seltener als Angriffsvektor auftreten.

Redaktion finanzen.net