Apple versorgt Sicherheitsforscher mit offenen iPhones

• Apple ruft das Security Research Device Program ins Leben
• Forscher erhalten eingeschränkten Zugang
• Viele Sicherheitsforscher sehen von einer Teilnahme ab

Apple Security Research Device Program

Apple ist bereits seit vielen Jahren der Kritik unabhängiger Sicherheitsforscher ausgesetzt, die bislang von massiven Beschränkungen seiten des Unternehmens betroffen waren. Denn bis vor Kurzem gewährleistete das Unternehmen ausschließlich seinen eigenen Sicherheitsforschern den Zugang zum System, um zu verhindern, dass mögliche Schwachstellen nach außen getragen und so von Hackern ausgenutzt werden können. Doch das soll sich nun ändern und Apple hat das Security Research Device Program ins Leben gerufen. "Als Teil von Apples Engagement für Sicherheit soll dieses Programm dazu beitragen, die Sicherheit für alle iOS-Nutzer zu verbessern, mehr Forscher an das iPhone heranzuführen und die Effizienz für diejenigen zu steigern, die bereits an der Sicherheit von iOS arbeiten. Es umfasst ein iPhone, das ausschließlich der Sicherheitsforschung gewidmet ist und über einzigartige Richtlinien zur Codeausführung und -eindämmung verfügt", heißt es auf der Developer-Website von Apple.

iPhones mit Shell-Zugang

Im Rahmen diese Programms stellt Apple unabhängigen Sicherheitsforscher spezielle iPhones zur Verfügung, die ihnen einen Shell-Zugang bieten. So haben die Forscher die Möglichkeit, Tools auszuführen und zu testen, da sich das Smartphone für Forschungszwecke so verhalten soll wie das regulär erwerbliche. Dabei bleiben die Geräte jedoch weiterhin im Besitz des Herstellers und werden von Apple lediglich für den Zeitraum von zwölf Monaten zur Verfügung gestellt. Auch müssen sich die Forscher an einige Regeln halten. So untersagt Apple es ihnen, das iPhone täglich zu nutzen und die Räumlichkeiten, in denen geforscht wird, mit dem Smartphone zu verlassen. Zusätzlich ist der Zugriff nur auf von Apple autorisierte Nutzer beschränkt. Eine weitere erhebliche Einschränkung ist, dass die Forscher entdeckte Schwachstellen nur mit vorheriger Absprache mit dem Unternehmen öffentlich machen dürfen, sodass Apple Zeit hat, gefundene Bugs zwischenzeitlich zu beseitigen.

Apple in der Kritik

Apple verfolgt die Strategie, dass gefundene Sicherheitslücken erst dann an die Öffentlichkeit geraten, wenn das Problem bereits behoben wurde. Auch unabhängige Forscher, die innerhalb des Programms eine Schwachstelle im System entdecken, sind von Apple vertraglich gezwungen zu schweigen, sodass in der Zwischenzeit ein passender Patch bereitgestellt werden kann. Genau dieses Vorgehen einer zeitversetzten Offenlegung von Schwachstellen ist umstritten, da es einerseits den Druck auf die Forscher erhöht, eine passende Lösung zu entwickeln, und andererseits Cyberkriminelle so die Chance und die Zeit haben, die Sicherheitslücke selbst zu entdecken und zu nutzen.

Die Teilnahme am Programm

Wer sich für die Teilnahme an dem Programm interessiert, muss sich im Vorfeld bewerben, da Apple nur eine begrenzte Anzahl an Geräten zur Verfügung stellt. Eine nächste Bewerberrunde soll erst im kommenden Jahr anlaufen. Forscher aus insgesamt 23 Staaten können sich für die Teilnahme qualifizieren, darunter auch Deutschland. Da die Teilnahme an dem Programm und auch die Forschung an sich durch Apple mit vielen Auflagen einher geht, haben sich bereits einige renommierte Forscher dagegen ausgesprochen. Der Sicherheitsforscher Jeff Johnson kritisierte zudem bereits im April via Twitter, dass Apple seit Dezember auch noch keine versprochene Belohnung ausgezahlt habe. Das Unternehmen wollte im Rahmen eines Bonusprogramms Belohnung für gefundene Sicherheitslücken auszahlen. "Das ist ein Witz. Ich glaube, es geht nur darum, Forscher so lange wie möglich zu Fehlern schweigen zu lassen", beschwert sich Johnson auf seinem Twitter-Account.

I'm thinking about withdrawing from the Apple Security Bounty program.

I see no evidence that Apple is serious about the program. I've heard of only 1 bounty payment, and the bug wasn't even Mac-specific.

Also, Apple Product Security has ignored my last email to them for weeks.

- Jeff Johnson (@lapcatsoftware) April 21, 2020

Isabell Tonnius / Redaktion finanzen.net