Das hier ist ein vollständig KI generierter Artikel.

Apple hat eine bedeutende Erweiterung und Neugestaltung seines Bug-Bounty-Programms angekündigt, bei dem die maximalen Auszahlungen verdoppelt, neue Forschungskategorien hinzugefügt und eine transparentere Belohnungsstruktur eingeführt werden.

Erweiterte Belohnungen und neue Kategorien

Seit dem Start des Programms im Jahr 2020 hat Apple 35 Millionen Dollar an 800 Sicherheitsforscher ausgezahlt, wobei einige Berichte mit bis zu 500.000 Dollar belohnt wurden. Die höchste Belohnung wurde nun auf 2 Millionen Dollar verdoppelt, insbesondere für Schwachstellen, die zu einer Zero-Click-Remote-Kompromittierung führen können, ähnlich wie bei Söldnerspyware-Angriffen. Durch das Bonussystem können die Auszahlungen jedoch bis zu 5 Millionen Dollar erreichen.

Weitere Belohnungen im Überblick

  • One-Click-Remote-Angriff – 1.000.000 Dollar
  • Drahtloser Proximitätsangriff – 1.000.000 Dollar
  • Breiter unautorisierter iCloud-Zugriff – 1.000.000 Dollar
  • WebKit-Exploit-Kette – 1.000.000 Dollar
  • Angriff auf gesperrtes Gerät mit physischem Zugang – 500.000 Dollar
  • App-Sandbox-Flucht – 500.000 Dollar
  • One-Click-WebKit-Sandbox-Flucht – 300.000 Dollar
  • Vollständige Umgehung des macOS Gatekeeper ohne Benutzerinteraktion – 100.000 Dollar
  • 1.000 Dollar „Ermutigungsprämie“ für Berichte mit geringem Einfluss

Herausforderungen für Sicherheitsforscher

Apple hat noch nie einen Bericht über eine vollständige Umgehung des Gatekeepers ohne Benutzerinteraktion oder einen breiten unautorisierten iCloud-Zugriff erhalten, sodass diese beiden Punkte für Bug-Bounty-Jäger besonders herausfordernd sind. Zudem hat Apple noch nie einen realen Zero-Click-Angriff beobachtet, der rein durch drahtlose Nähe ausgeführt wurde, was die 1-Million-Dollar-Belohnung für den „Wireless Proximity“-Preis betrifft.

Zukunftspläne und Schutzmaßnahmen

Für 2026 plant Apple, tausend gesicherte iPhone 17-Geräte an Mitglieder von zivilgesellschaftlichen Organisationen zu verteilen, die einem höheren Risiko ausgesetzt sind, von Söldnerspyware angegriffen zu werden. Diese Geräte werden auch das Sicherheitsforschungsgeräteprogramm von Apple im nächsten Jahr unterstützen. Apple erwartet, dass die erhöhten Prämien einen zusätzlichen Einfluss auf die Entwicklung ausgeklügelter Angriffsketten von Spyware-Anbietern haben werden, da Forscher stärker motiviert werden, Sicherheitsprobleme zu finden und zu melden.

Um seine Nutzer vor ausgeklügelten Spyware-Angriffen zu schützen, hat Apple in iOS fortschrittliche Schutzmaßnahmen wie den Lockdown-Modus und die Memory Integrity Enforcement implementiert, die die Entwicklung und Durchführung von versteckten Spyware-Angriffen teurer machen.

Fazit

Mit der Verdopplung der maximalen Auszahlungen und der Einführung neuer Kategorien setzt Apple ein starkes Zeichen im Bereich der Cybersicherheit. Die Erhöhung der Prämien zeigt das Engagement des Unternehmens, seine Nutzer vor potenziellen Bedrohungen zu schützen und gleichzeitig die Sicherheitsforschung zu fördern.

Quelle: https://www.bleepingcomputer.com/news/security/apple-now-offers-2-million-for-zero-click-rce-vulnerabilities/