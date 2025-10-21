Apple-Aktie: iKonzern verdoppelt Bug Bounty - neue Target Flags und Boni sollen Zahlungen beschleunigen
Apple überarbeitet sein Bug-Bounty-Programm und will Forschung an komplexen, realitätsnahen Angriffsketten künftig stärker belohnen.
• Höchstprämie 2 Millionen US-Dollar für komplexe Exploit Ketten
• Target Flags (CTF artig) ermöglichen schnelle Verifikation und Auszahlung im nächsten Zyklus
• Fokus auf vollständige, realitätsnahe Angriffe
Neuer Fokus: Komplette Exploit Ketten
Das aktualisierte Programm belohnt laut Apple weniger einzelne CVEs als vollständige Exploit Ketten, also mehrere miteinander verknüpfte Schwachstellen, die zusammen eine Kompromittierung ermöglichen. Besonders Remote Vektoren und Zero Click Szenarien stehen dabei im Fokus, weil sie in der Praxis das größte Schadenspotenzial bieten. Ziel ist es, Forschende zu motivieren, "End to End"-Angriffe aufzudecken, statt nur isolierte Lücken zu melden.
Target Flags beschleunigen Verifikation und Auszahlung
Neu sind laut Apple die sogenannten "Target Flags" - ein an Capture the Flag Wettbewerbe angelehntes System, mit dem Forschende beim Exploit objektive Belege sammeln können (etwa Code Ausführung oder bestimmte Lese-/Schreib Zugriffe). Apple prüft diese Flags und zahlt nach erfolgreicher Validierung bereits im nächsten Zahlungszyklus aus, sodass die bisher oft monatelangen Wartezeiten für Forschende deutlich verkürzt werden.
Konkrete Kategorien und Beträge
Das Kategoriensystem nennt konkrete Höchstbeträge: Ein Klick Sandbox Umgehungen in WebKit können bis zu 300.000 US-Dollar bringen, drahtlose Proximity Exploits bis zu 1.000.000 US-Dollar, und eine vollständige Gatekeeper Umgehung auf macOS wird mit rund 100.000 US-Dollar bewertet. Für besonders komplexe, Zero Click RCE Ketten gilt die neue Obergrenze von 2 Mio. US-Dollar; mit Bonusmechaniken sind höhere Auszahlungen möglich.
Wirkung und Kontext
Seit Öffnung des öffentlichen Programms 2020 hat Apple nach eigenen Angaben mehr als 35 Millionen US-Dollar an über 800 Forschende ausgeschüttet. Die Aufstockung der Prämien und die Einführung schnellerer Auszahlungspfade signalisieren, dass Apple die Bedrohung durch professionelle Spyware ernst nimmt und erhebliche Mittel in Prävention und Kooperation mit der Security Community investiert. Zugleich soll die Neuausrichtung die Forschung auf jene Angriffsmuster lenken, die in der realen Welt am gefährlichsten sind.
Chancen und Grenzen für Forschende
Höhere Höchstprämien und schnellerer Zugang zu Auszahlungen erhöhen den Anreiz, tiefgehende Exploitketten aufzuspüren. Zugleich gilt: Nicht jede Meldung führt automatisch zu Millionenprämien. Die höchsten Auszahlungen setzen spezifische Voraussetzungen voraus (etwa die Kombination mehrerer Schwachstellen oder die Umgehung zusätzlicher Schutzmechanismen) und bleiben an Apples Validierungsprozess gekoppelt. Manche Kategorien sind bewusst niedriger dotiert, wenn sie in der Praxis seltener als Angriffsvektor auftreten.
Bildquellen: Vytautas Kielaitis / Shutterstock.com, Andrey Bayda / Shutterstock.com
