Seit 2016 bietet Apple all denjenigen Hackern ein Kopfgeld für Sicherheitslücken in iOS, die zu seinem Bug-Bounty-Programm eingeladen wurden. Ian Beer gehört nicht dazu und hat ausgerechnet, dass die von ihm entdeckten Bugs allerdings zusammen rund 2,45 Millionen US-Dollar wert wären. Über 30 teils schwerwiegende Lücken will der bei Googles interner Hacker-Truppe arbeitende Beer mit seinen Kollegen ausgemacht haben. Am Rande der Sicherheitskonferenz Black Hat in Las Vegas, einem der wichtigsten Hacker-Treffen der Welt, fordert der Google-Mitarbeiter den Apple-Chef Tim Cook auf, das Geld zu zahlen: Er solle es direkt an direkt an Amnesty International spenden.
Ian Beer und seine Mitarbeiter bei Project Zero suchen in der hauseigenen Software aber auch Programmen und Systemen der Konkurrenz nach Sicherheitslücken, die es dann zu stopfen gilt. Beer ist dabei für Apples iOS zuständig und hat in den letzten Jahren viele Probleme mit dem an sich recht sicheren Mobil-Betriebssystem gefunden und an Apple gemeldet. Regelmäßig wird er in Apples Sicherheits-Bulletins erwähnt.
Apple-Entwickler dürfen nicht nur wie Ingenieure denken
Wie Ian Beer kritisiert, pflege Apple eine zweifelhafte Fehlerkultur. Zwar würde der iPhone-Konzern die Fehler beheben aber nicht an den Kernproblemen des Systems arbeiten, die es erst so anfällig machen. Als Ursache macht er auch den allzu akademischen Hintergrund der Entwicklungsleiter aus: Die hätten „starke Ingenieursfähigkeiten“ aber wenig Ahnung davon, wie Hacker arbeiten, die eine Software aufbrechen und ausnutzen.
„Wir müssen aufhören, Bugs nur punktuell zu beheben und stattdessen davon lernen, wo sie herkommen“, sagt Beer. Nur auf diese Weise könnten Fehler verhindert werden, wie sie beispielsweise bei einem gezielten Angriff auf Amnesty International genutzt wurden. Durch gezielt versendete Nachrichten wurde Mitarbeitern der Menschenrechtsorganisation die Spionagesoftware Pegasus auf ihre Smartphones gespielt.
Weniger Geld als auf dem Schwarzmarkt
Bereits in der Vergangenheit war Apples Fehlerkultur kritisiert worden. Nachdem Apple sein eigenes Bug-Bounty-Programm gestartet hat, scherzten Hacker, dass Apple weit weniger für einen gefundenen Fehler zahle – nämlich maximal 200.000 US-Dollar – als sie auf dem Schwarzmarkt bekämen. Zudem vergütet Apple nur iOS-Sicherheitslücken, weshalb frustrierte Entwickler drohten, potentiell gefährliche Fehler in macOS einfach offen im Netz aufzudecken.
Das Ausschreiben von Kopfgeldern auf sicherheitskritischen Bugs ist ein altes Geschäft. Freie Hacker als auch private Sicherheitsunternehmen sollen dadurch animiert und für ihre Arbeit belohnt werden. Nicht zuletzt soll dadurch aber auch verhindert werden, das ausnutzbare Fehler in den Händen von Kriminellen, ausländischen Geheimdiensten oder staatlich finanzierten Hackergruppen landen – wie etwa bei Stuxnet, der gleich mehrere unbekannte Exploits nutzte. Firmen wie Google, Microsoft und Facebook zahlen jährlich teils mehrere Millionen US-Dollar für eingelieferte Berichte über Fehler.
