Apple hat sein Sicherheitsprogramm aktualisiert und bietet nun bis zu 2.000.000 US-Dollar für Zero-Click-Exploits an, die Remote Code Execution (RCE) ermöglichen. Das Unternehmen finanziert höhere Prämien für die gefährlichsten Arten von Schwachstellen. Ziel ist es, führende Sicherheitsforscher zu verantwortungsbewusster Offenlegung zu motivieren, anstatt Funde auf grauen Märkten zu verkaufen.
Höhere Grundprämien und kombinierte Boni
Apple hat die Grundprämien für mehrere Exploit-Kategorien erhöht. Ein-Klick-RCEs und bestimmte drahtlose Angriffe auf kurze Distanz sind nun mit 1.000.000 US-Dollar bewertet. Außerdem wurden die Belohnungen für iCloud-Kompromittierungen und Privilegieneskalationsketten angehoben.
Wenn Forscher mehrere Kriterien erfüllen, kann Apple Bonuszahlungen kombinieren – diese können Belohnungen von über 5.000.000 US-Dollar für eine einzelne Einreichung ermöglichen.
Warum Apple Zero-Click-RCEs priorisiert
Zero-Click-Exploits erlauben es Angreifern, Code auszuführen, ohne dass der Benutzer etwas tun muss. Sie können Geräte unbemerkt kompromittieren. Aufgrund dieses hohen Risikos hat Apple entschieden, diese Schwachstellen zu priorisieren. Die erhöhte Prämie soll stärkere Anreize schaffen, Funde zu melden, anstatt sie auszunutzen.
Neue Schutzprogramme und Unterstützung für gefährdete Nutzer
Apple kombiniert die Erhöhung der Prämien mit zusätzlichen Sicherheitsinitiativen. Das Unternehmen plant, sichere Geräte an zivilgesellschaftliche Organisationen zu spenden, die einem Risiko durch fortschrittliche Spyware ausgesetzt sind.
Darüber hinaus setzt Apple Programme wie den Lockdown Mode und verbesserte Speicherintegrität fort. Diese Schutzmaßnahmen erschweren Angreifern ihre Arbeit und verringern die Chancen auf unbemerkte Ausnutzung.
Zugriff auf Forschungsgeräte und Zeitrahmen
Apple hat die Bewerbungsphase für sein Security Research Device-Programm geöffnet. Dabei sind geprüfte Sicherheitsforscher eingeladen, spezielle Hardware zu beantragen, um komplexe Sicherheitslücken zu untersuchen. Teilnehmer erhalten kontrollierten Zugriff auf Diagnosefunktionen, die helfen, tiefgreifende Schwachstellen zu entdecken.
Apple hofft, dass dieser kontrollierte Ansatz dazu beiträgt, kritische Sicherheitslücken früher zu erkennen.
Bedeutung des Bug-Bounty-Programms für Verteidiger und Forscher
Sicherheitsteams können künftig mit mehr koordinierten Meldungen von Spitzenforschern rechnen. Organisationen, die Abwehrsysteme entwickeln, können diese Berichte nutzen, um Patches schneller bereitzustellen.
Forscher profitieren von klareren Regeln und höheren finanziellen Anreizen. Personen, die früher Zero-Click-Exploits auf grauen Märkten verkauften, könnten nun die Offenlegung als lohnendere Alternative betrachten.
Fazit
Die Erhöhung der Apple Zero-Click Vulnerabilities Bounty markiert einen bedeutenden Wandel. Apple bewertet Exploit-Forschung nun deutlich höher als zuvor. Die Kombination aus größeren Prämien, erweiterten Schutzprogrammen und Zugang zu Forschungsgeräten dürfte die Zahl unentdeckter Hochrisiko-Exploits verringern.
Für Cybersicherheitsverteidiger bedeutet diese Änderung eine größere Chance, kritische Schwachstellen zu schließen, bevor sie von Angreifern ausgenutzt werden.
0 Kommentare zu „Apple erhöht Prämie für Zero-Click-Sicherheitslücken auf 2 Millionen US-Dollar“