Apples Security-Chef Ivan Krstic stahl vergangenen Sommer bei einer der weltweit größten Hackerkonferenzen allen anderen mit einer unerwarteten Bekanntmachung die Show. Auf der Black Hat-Konferenz verkündete er, dass Apple endlich ein Bounty-Programm aufsetzen wollte, um Hacker zu motivieren, Sicherheitslücken direkt an Apple zu melden.

Für diese Ankündigung erntete Krstic damals tosenden Applaus. Doch fast ein Jahr später scheint das Programm mit Startschwierigkeiten zu kämpfen – denn bisher gibt es noch keinen öffentlichen Nachweis dafür, dass auch nur ein einziger Hacker eine Prämie eingefordert hat.

Generell sind die Sicherheitsstandards bei Apple so hoch, dass es sehr schwer ist, irgendwelche Bugs zu finden. Daher bringt jede Sicherheitslücke auf dem sogenannten Grauen Markt viel Geld ein – obwohl der Handel mit den Bugs nicht direkt illegal ist, unterliegen sie keiner gesetzlichen Kontrolle und bewegen sich somit in einer rechtlichen Grauzone. Sicherheitsforscher, mit denen wir gesprochen haben, sind von der Idee, Sicherheitslücken direkt an Apple zu melden, nicht gerade begeistert. Das liegt zum einen am finanziellen Wert der Bugs, aber auch daran, dass es Hacker daran hindern könnte, Sicherheitslücken überhaupt weiter zu erforschen.

“Man bekommt mehr Geld, wenn man die Bugs an andere verkauft”, sagt Nikias Bassen, ein Sicherheitsforscher für das Unternehmen Zimperium, der sich vergangenes Jahr dem Apple-Programm anschloss. “Wenn du deine Forschung nur fürs eigene Portemonnaie machst, wirst du die Sicherheitslücken nicht direkt an Apple weitergeben.”

Patrick Wardle sieht das ganz ähnlich. Der ehemalige NSA-Hacker und Forscher bei Synack hat sich inzwischen auf MacOS-Forschung spezialisiert und wurde ebenfalls von Apple zu dem Programm eingeladen. Auch er meint, dass iOS-Bugs “viel zu wertvoll sind”, um sie direkt an Apple zu melden.

Zusätzlich zu Wardle und Bassen haben wir mit acht Bug-Jägern aus dem Apple-Programm gesprochen, die anonym bleiben möchten. Ihren Angaben nach hat niemand von ihnen bisher eine Sicherheitslücke an Apple gemeldet – und ihnen sind auch keine anderen Fälle bekannt. Apple selbst lehnte eine Stellungnahme zu dem Thema ab.

Apples Kopfgeldjäger – ein exklusiver Club

Im September 2016 ließ Apple Wardle, den berühmten iPhone-Jailbreaker Luca Todesco und eine kleine, ausgewählte Gruppe an White-Hat-Hackern zu seinem Hauptquartier in Cupertino einfliegen.

Während ihres Aufenthalts wollte Apple den Forschern schmackhaft machen, im Rahmen des Bug-Bounty-Programms mit dem Unternehmen zusammenzuarbeiten. Sicherheitsmitarbeiter von Apple hielten Vorträge, luden die Forscher zum Essen ein und gaben ihnen die Möglichkeit, ihre eigene Arbeit vorzustellen. Sogar Craig Federighi, der Senior Vice President für Softwareentwicklung bei Apple, stattete der Gruppe einen Überraschungsbesuch ab, wie zwei der Anwesenden berichteten.

“Wenn ich meine eigenen Bugs unschädlich mache, kann ich auch nicht weiter forschen”

Das Treffen markierte eine große Zeitenwende, denn Sicherheitsforscher und Experten hatten schon lange kritisiert, dass Apple als einziger der Technik-Giganten immer noch kein Bug-Bounty-Programm hatte. Microsoft, Google, Facebook und zahllose andere kleinere Firmen haben bereits seit Jahren solche Programme und bieten unabhängigen Hackern teils sehr lukrative Summen dafür, Sicherheitslücken an die betroffenen Unternehmen zu melden, statt sie an andere zu verkaufen.

Auch das FBI hat schon Hacker engagiert, um Apple-Geräte zu knacken. Im vergangenen Jahr weigerte sich Apple monatelang, die iPhone-Verschlüsselung des San Bernardino-Schützen auszuhebeln, der 14 Menschen getötet und 22 weitere verletzt hatte. Um das iPhone schließlich hacken zu können, zahlte das FBI eine saftige Summe an einen unbekannten, unabhängigen Sicherheitsforscher, der eine Sicherheitslücke gefunden hatte. Damals stellte die New York Times die These auf, dass es nur deswegen Blackhat-Hacker gäbe, die Exploits zum Verkauf anbieten, weil sie keinen Anreiz hätten, sie direkt an Apple zu melden.

Scheitert Apple am eigenen Perfektionismus?

“Apple möchte nichts herausbringen – dazu zählt auch das Bug-Bounty-Programm – bevor es perfekt ist. Sie sind Perfektionisten”, erklärt uns ein ehemaliger Apple-Mitarbeiter auf die Frage, warum Apple so lange mit dem Programm auf sich warten ließ. Er war früher im Bereich Software-Sicherheit tätig und möchte wegen seiner Geheimhaltungsvereinbarung anonym bleiben.

Obwohl Apple das Bug-Bounty-Programm öffentlich groß ankündigte, fallen alle weiteren Details des Programms unter Apples übliche Geheimhaltung. Bisher können Hacker auch nur auf Einladung an dem Programm teilnehmen.

So viel zahlt Apple für gemeldete Bugs

Aus Krstics Vortrag ging hervor, dass Sicherheitsforscher Prämien von 25.000 bis 200.000 US-Dollar verdienen können, wenn sie Softwarefehler in iOS und MacOS melden.

Eine Folie von Ivan Krstics Präsentation auf der Black Hat-Konferenz 2016. (Bild: Apple)

Das klingt vielleicht erstmal nach viel Geld. Doch den Hackern, mit denen wir gesprochen haben, sind Apples Prämien viel zu niedrig. Auf dem privaten, Grauen Markt wird beispielsweise eine Methode, die aus verschiedenen Bugs besteht und ein iPhone jailbreaken kann, für 1,5 Millionen US-Dollar gehandelt. Solche Exploits sind es, die Unternehmen wie Zerodium von Forschern einkaufen und an Kunden weiterverkaufen. Eine andere Firma, Exodus Intelligence, bietet bis zu 500.000 US-Dollar für einen vergleichbaren iOS-Exploit. Angeblich werden diese Dienste nur an Unternehmen verkauft, die damit ihr eigenes Netzwerk schützen wollen, oder an Polizeibehörden und Geheimdienste, um sie beim Hacken hochrangiger Ziele zu unterstützen. Nachprüfbar ist das jedoch nur schwer.

“Apple muss mit dem echten Wert ihrer Bugs mithalten, wenn es sie kaufen möchte”

Es ist denkbar, dass einige Hacker bereits Apples Bug-Bounty-Programm genutzt haben, jedoch nicht öffentlich darüber sprechen wollen. Das liegt jedoch nicht an ihrer Vereinbarung mit Apple, denn darin wird ihnen nicht explizit untersagt, über die Exploits zu reden. Der Vertrag, den uns ein Sicherheitsforscher zeigte, bittet die Hacker nur, ausschließlich geschlossene Sicherheitslücken öffentlich zu diskutieren und ihr Statement vorher mit Apple abzusprechen. Normalerweise teilen Sicherheitsforscher ihre Funde gerne mit der Öffentlichkeit, vor allem, wenn sie eine Sicherheitslücke in der vermeintlich sichersten Software der Welt gefunden haben. Damit können sie ihren Ruf als talentierter Hacker festigen – und natürlich auch damit angeben.

Screenshot einer Twitter-Umfrage, die der ehemalige Jailbreaker Jonathan Zdziarski durchführte, der inzwischen für Apple arbeitet.

“Apple muss mit dem echten Wert ihrer Bugs mithalten, wenn es sie kaufen möchte”, findet Dan Guido, der CEO des Cybersecurity-Forschungsunternehmens Trail of Bits. “Sie versuchen, Lücken, die ihnen das Genick brechen könnten, für gerade mal 200.000 US-Dollar zu kaufen. Aber die sind einfach mehr wert.”

Das Bug-Bounty-Programm zahlt sich für die Hacker also schlichtweg nicht aus. Guido hat selbst an der iOS-Sicherheit geforscht und kennt das System nur zu gut. Er glaubt, dass die Apple-Systeme so sicher sind, dass es selbst nach einer wochen- oder monatelangen Suche sehr unwahrscheinlich sei, auf einen Fehler zu stoßen. Sollte man doch irgendwann eine Sicherheitslücke finden, ist diese der Firma gerade mal 200.000 US-Dollar wert. Die meisten Hacker sind jedoch nicht bereit, viel Zeit für eine so mickrige Prämie zu verschwenden.

Das Geld ist nicht der einzige Grund

Doch es geht den Sicherheitsforschern nicht nur um die Belohnung. Das Betriebssystem iOS ist so komplex und gut gesichert, dass man allein mehrere offene Zero-Day-Exploits braucht, um es eingehend untersuchen zu können. Darum behalten einige Sicherheitsforscher ihre Bugs lieber für sich und forschen weiter, statt für wenige Tausend US-Dollar ihre wertvollen Funde aus der Hand zu geben.

“Niemand wird die Bugs einfach verscherbeln, es sei denn, man ist verdammt dumm”, erzählte uns Luca Todesco, ein bekannter iPhone-Jailbreaker, vor einigen Monaten. “Damit verbaut man sich die eigene Zukunft […] Wenn ich meine eigenen Bugs unschädlich mache, kann ich auch nicht weiter forschen.”

Bild: Lorenzo Franceschi-Bicchierai | Motherboard

“Entweder meldest du die Bugs, die du gefunden hast, und schaltest sie damit aus, oder du meldest sie nicht. Damit machst du dir das Leben nicht unnötig schwer und kannst weiter forschen”, bestätigt uns auch ein anderer Forscher, der von Apple zum Bounty-Programm eingeladen wurde. “Oder du verkaufst sie an eine unabhängige Firma, dann verschwendest du nicht zwei oder drei Bugs für gerade mal 50.000 US-Dollar.”

Wie Apple mehr Hacker ködern könnte

Mehrere Teilnehmer des Programms erzählten uns, dass sie Apples Sicherheitsteam um spezielle iPhones baten, die weniger sicher sind und somit leichter zu hacken seien. Bei solchen Geräten sind bestimmte Einstellungen deaktiviert, um Sicherheitsforschern die Arbeit zu erleichtern. Doch bislang scheint Apple nicht gewillt, die Forscher mit solchen speziellen Geräten auszustatten.

Die Hacker sind sich einig, dass Apple es schwer haben wird, mehr unabhängige iPhone-Hacker an ihr Programm zu binden, wenn sie keine speziellen Geräte bereitstellen oder wenigstens weitere Leute dazu einladen.

“Apple hat was Neues ausprobiert und den Leuten große Prämien für funktionsfähige Angriffe versprochen. Aber sie haben den Bounty-Markt nicht richtig interpretiert oder die Beweggründe der Leute nicht verstanden, die ihnen helfen sollen”, meint Guido.

Einerseits spräche es zwar für die hohe Sicherheit des iPhones, dass bisher so wenige Bugs eingereicht wurden, meint Guido. Andererseits sei es vielleicht auch ein Zeichen, dass Apple sein Bounty-Programm überdenken und mehr Leute an Bord holen müsse:

“[Apple] vermittelt die Nachricht ‘Hey, dieses Programm ist nur für exklusiv ausgewählte Menschen’, obwohl sie eigentlich jeden damit erreichen wollen”, sagt Guido. “Hier müssen sie etwas tun, in dem Apple schlecht ist: Sie müssen ihre Geheimniskrämerei lassen und die Werbetrommel für das Programm rühren.”