Apple-Chef Tim Cook bei einer Präsentation im Jahr 2017.
Apple-Chef Tim Cook bei einer Präsentation im Jahr 2017.

Seit 2016 bietet Apple all denjenigen Hackern ein Kopfgeld für Sicherheitslücken in iOS, die zu dem Bug-Bounty-Programm des Konzerns eingeladen wurden. Ian Beer gehört nicht dazu. Doch er hat ausgerechnet, dass die von ihm entdeckten Bugs zusammen rund 2,45 Millionen US-Dollar wert wären. Über 30 teils schwerwiegende Lücken will der bei Googles interner Hacker-Truppe arbeitende Beer mit seinen Kollegen ausgemacht haben. 

Am Rande der Sicherheitskonferenz Black Hat in Las Vegas, einem der wichtigsten Hacker-Treffen der Welt, fordert der Google-Mitarbeiter den Apple-Chef Tim Cook auf, das Geld zu zahlen: Er solle es direkt an Amnesty International spenden.

Ian Beer und seine Mitarbeiter bei Project Zero suchen in der hauseigenen Software aber auch Programmen und Systemen der Konkurrenz nach Sicherheitslücken, die es dann zu stopfen gilt. Beer ist dabei für Apples iOS zuständig und hat in den vergangenen Jahren viele Probleme mit dem an sich recht sicheren Mobil-Betriebssystem gefunden und an Apple gemeldet. Regelmäßig wird er in Apples Sicherheits-Bulletins erwähnt.

Weniger wie Ingenieure denken

Wie Ian Beer kritisiert, pflege Apple eine zweifelhafte Fehlerkultur. Zwar würde der iPhone-Konzern die Fehler beheben, aber nicht an den Kernproblemen des Systems arbeiten, die es erst so anfällig machen. Als Ursache macht er auch den allzu akademischen Hintergrund der Entwicklungsleiter aus: Die hätten „starke Ingenieursfähigkeiten“ aber wenig Ahnung davon, wie Hacker arbeiten, die eine Software aufbrechen und ausnutzen.

„Wir müssen aufhören, Bugs nur punktuell zu beheben und stattdessen davon lernen, wo sie herkommen“, sagt Beer. Nur auf diese Weise könnten Fehler verhindert werden, wie sie beispielsweise bei einem gezielten Angriff auf Amnesty International genutzt wurden. Durch gezielt versendete Nachrichten wurde Mitarbeitern der Menschenrechtsorganisation die Spionagesoftware Pegasus auf ihre Smartphones gespielt.

Google, Microsoft und Facebook zahlen jährlich Millionen

Bereits in der Vergangenheit war Apples Fehlerkultur kritisiert worden. Nachdem Apple sein eigenes Bug-Bounty-Programm gestartet hat, scherzten Hacker, dass Apple weit weniger für einen gefundenen Fehler zahle – nämlich maximal 200.000 US-Dollar – als sie auf dem Schwarzmarkt bekämen. Zudem vergütet Apple nur iOS-Sicherheitslücken, weshalb frustrierte Entwickler drohten, potentiell gefährliche Fehler in macOS einfach offen im Netz aufzudecken.

Das Ausschreiben von Kopfgeldern auf sicherheitskritischen Bugs ist ein altes Geschäft. Sowohl Freie Hacker als auch private Sicherheitsunternehmen sollen dadurch animiert und für ihre Arbeit belohnt werden. Nicht zuletzt soll dadurch aber auch verhindert werden, das ausnutzbare Fehler in den Händen von Kriminellen, ausländischen Geheimdiensten oder staatlich finanzierten Hackergruppen landen – wie etwa bei dem Schadprogramm Stuxnet, das gleich mehrere unbekannte Exploits nutzte. Firmen wie Google, Microsoft und Facebook zahlen jährlich teils mehrere Millionen US-Dollar für eingelieferte Berichte über Fehler.

Dieser Text erschien zuerst bei Wired.de.

Bild: Getty Images / Justin Sullivan / Staff