Weil Apple nicht für Funde zahlen will, legt Patrick Wardle das von ihm gefundene Leck offen.

Foto: AFP

Spät, aber doch, hat Apple 2016 ein eigenes "Bug Bounty"-Programm ins Leben gerufen. Forscher und Hacker, die bislang unbekannte Sicherheitslecks in der Software des Unternehmens finden, können sich eine Belohnung – bis zu 200.000 Dollar – sichern, wenn sie ihre Entdeckung melden.

Die Initiative hat jedoch zwei Haken. Apple zahlt nur für Schwachstellen, die das mobile Betriebssystem iOS betreffen. Nicht jedoch, wenn es um die Desktopplattform macOS geht. Zudem handelt es sich um ein Einladungsprogramm, Geld erhalten können nur Forscher,Weil er mit diesem Vorgehen nicht einverstanden ist, weill der Hacker Patrick Wardle eine von ihm entdeckte Lücke offenlegen, ohne Apple vorab mit Informationen zu versorgen. Zugriff auf die Information erhalten alle, die ihn über die Finanzierungs-Plattform Patreon unterstützen.

Schwäche in Grafikkartentreiber wird offengelegt

Er hat einen Fehler gefunden, der den Grafikkartentreiber betrifft. Dieser könnte es Angreifern ermöglichen, sich erweiterte Rechte zu sichern. Das Problem soll auch in der aktuellsten macOS-Ausgabe 10.13.2 noch existieren.

Sein Vorgehen begründet Wardle damit, dass Apple mit dem Verzicht auf Belohnungen für Schwachstellen in dem System die Sicherheit der Nutzer gefährde. Denn damit komme man natürlich in Versuchung, die Lücken an andere Interessenten zu verkaufen, deren Intentionen potenziell sinistrer Natur sind.

Unmut unter Security-Experten

Auch in anderer Hinsicht übt Wardle Kritik an Apple. Er wirft dem Konzern vor, manchmal Sicherheitslücken zwar zu beheben, dies aber erst mit Verspätung bekannt zu geben. So geschehen etwa mit einem von ihm gemeldeten Problem, dessen Eliminierung man erst vor kurzem vermerkt hat, obwohl sie bereits im Oktober erfolgt ist.

Wardle ist nicht der Erste, der in Ermangelung eines Belohnungsprogramms einen macOS-Fehler offenlegen will. Schon zu Neujahr tätigte ein anderer Sicherheitsforscher diesen Schritt. "IOHIDeous" nennt sich der Zero Day-Exploit, der möglicherweise bereits 15 Jahre alt ist. Die von Apple angekündigte Behebung lässt derweil noch auf sich warten. (red, 18.01.2018)