Eine neue Studie von Atlas VPN ergab, dass Apple Forschern die höchste Auszahlung an Bug-Bounty-Prämien gewährt, wenn sie Software-Schwachstellen auf seinen Geräten finden und melden. Im Vergleich zu Samsung sind die Bug-Bounty-Belohnungen von Apple fünfmal höher als die seiner Konkurrenten.
Aber selbst dann wird der Technologieriese aus Cupertino von Entwicklern oder Sicherheitsforschern kritisiert, weil er seine Entdeckungen nicht gutschreibt und die Belohnungen nicht zahlt.
Apple zahlt die höchsten Bug-Bounty-Prämien von 100.000 bis 1 Million US-Dollar an Forscher, die Exploits finden
Gemäß derBericht, kann der Technologieriese aus Cupertino bis zu 1 Million US-Dollar für entdeckte Exploits in seinen Geräten zahlen, was für Sicherheitsforscher einen großen Anreiz darstellt, nach Schwachstellen in Apple-Software-Betriebssystemen zu suchen. Huawei zahlt den zweithöchsten Betrag an Bug-Bounty-Prämien von bis zu 223.000 US-Dollar für Exploits in seiner AppGallery, in Cloud-Diensten oder auf den Telefonen selbst. Und Samsung liegt mit bis zu 13.000 US-Dollar Auszahlungen für Exploits auf dem dritten Platz.
- Apple zahlt zwischen 100.000 und 1 Million US-Dollar an Forscher, die Exploits in ihren Geräten finden. Unser Bericht von Anfang des Jahres ergab, dass die Schwachstellen in Apple-Produkten um über 450 % zugenommen haben.
- Das Bug-Bounty-Programm von Huawei bietet Auszahlungen von 200.000 bis 223.000 US-Dollar für gefundene Schwachstellen in seinen Geräten.
- Das Bug-Bounty-Programm von Samsung belohnt Forscher zwischen 200.000 und 200.000 US-Dollar für qualifizierte Exploits, abhängig vom Schweregrad, der Qualität des Schwachstellenberichts, dem betroffenen Umfang und der Schwierigkeit der Angriffe.
- Die Kopfgeldzahlungen von Xiaomi liegen zwischen 800 und 13.000 US-Dollar für gefundene Schwachstellen und es gibt eine spezielle Hacker-Ranglistenbelohnung für Hacker, die das meiste Kopfgeld im Xiaomi-Programm verdient haben.
- OnePlus und Oppo, beide im Besitz von BBK Electronics, können Forscher mit Bug-Bounty-Programmen mit bis zu 7.000 US-Dollar bzw. 4.000 US-Dollar belohnen.
- Das Bug-Bounty-Programm von LG bietet eine Entschädigung von bis zu 4,2.000 US-Dollar, abhängig vom Schweregrad der Sicherheitslücke.
Allerdings haben mehrere beim Apple Security Bounty (ASB)-Programm registrierte Sicherheitsforscher ihre Unzufriedenheit und Frustration mit der Verwaltung des Programms zum Ausdruck gebracht. Forscher beschweren sich darüber, dass das Unternehmen Monate braucht, um auf gemeldete Schwachstellen zu reagieren, und manchmal sogar Patches für die entdeckten Schwachstellen vornimmt, ohne den Bug-Jäger zu erwähnen und ihm die entsprechende Belohnung zu zahlen.
Dieses Verhalten zeigte sich im Fall des Entwicklers Denis Tokarev, der vier Zero-Day-Exploits entdeckte. Apple hat iOS 14.7 gepatcht, ohne ihn zu erwähnen, und als er die verbleibenden drei Exploits in iOS 15 an die Öffentlichkeit brachte, entschuldigte sich das Unternehmen oberflächlich dafür, später dasselbe zu tun. Im iOS 15.0.2-Update hat das Unternehmen einen Gaming-Zero-Day-Exploit behoben, ohne Tokarev Guthaben und Geldprämien zu gewähren. Zwei weitere Exploits müssen noch behoben werden. Die Exploits wurden zwischen März und Mai 2021 eingereicht.
Einige Unzufriedene haben auch darüber nachgedacht, die Exploits an Anbieter wie HackerOne, Zero Day Initiative oder Dritte zu verkaufen, bei denen es sich um Firmen wie NSO handeln könnte, den Entwickler der Pegasus-Spyware zum Hacken von iPhone- und Android-Geräten.
Mehr lesen:Apple veröffentlicht iOS 17.1.2 und behebt aktiv ausgenutzte Sicherheitslücken