News Sicherheitslücken: Apples Bug Bounty ist ein Flop

tobias84

Lt. Junior Grade
Registriert
Juli 2015
Beiträge
420
Apples im September 2016 gestartetes Bug-Bounty-Programm stößt einem Bericht zufolge auf wenig Resonanz. Der Hauptgrund für das geringe Interesse seien die vergleichsweise niedrigen Honorare, die Apple für gefundene Sicherheitslücken zahlt. Auf dem Schwarzmarkt lassen sich Experten zufolge weit höhere Beträge erzielen.

Zur News: Sicherheitslücken: Apples Bug Bounty ist ein Flop
 
Daran sieht man mal wieder was das für ein Unternehmen ist, auf der einen Seite die mit Abstand teuersten Produkte verkaufen und auf der anderen Seite an jeder Ecke rumgeizen. Die App Store Ausschüttungen haben sie auch gesenkt. Aber bei den niedrigen Gewinnen absolut verständlich. :rolleyes:
 
Hm, an der falschen Stelle gespart? Leisten könnte man sichs ja, sitzt man doch auf Milliarden ungenutzter Dollars :p
 
Ich hätte nicht gedacht das es dort um solche Summen geht :freak:
Und Google/MS/FB zahlen mehr ?
 
Palmdale schrieb:
Hm, an der falschen Stelle gespart? Leisten könnte man sichs ja, sitzt man doch auf Milliarden ungenutzter Dollars :p
An die kommen sie aber nicht so einfach ran. Die Lagern irgendwo Off-Shore. Wenn die in den USA genutzt werden wollen, müssen die noch versteuert werden. Zumindest sofern ich mich richtig erinnere.

Ka. Also für mich würde es aus moralischen Gründen nicht in Frage kommen, die Sachen auf dem Schwarzmarkt zu verticken. Ist auch eine Sache die man den Sicherheitslückensuchern vorwerfen könnte: Absolute Geldgeilheit.
 
Willst du jetzt sagen, dass du eine Lücke lieber kostenlos veröffentlichen würdest, anstatt sie für 1Mio+ zu verkaufen? Ist klar :rolleyes:
 
Ist ja auch kein Wunder, wenn ganze Regierungen indirekt auf die Lücken mitbieten und damit die Preise hochtrieben. Solang die lieben Geheimdienste dieses Verhalten für vernünftig halten, wird sich da kaum etwas ändern. Da kann Apple wahrscheinlich noch so viel Geld anbieten...
 
Zuletzt bearbeitet:
hudini9911 schrieb:
Daran sieht man mal wieder was das für ein Unternehmen ist, auf der einen Seite die mit Abstand teuersten Produkte verkaufen und auf der anderen Seite an jeder Ecke rumgeizen...

Von den Reichen lernt man das Sparen.

Wenn jemand jedoch wirklich in der Lage ist, relevante Sicherheitslücken zu erkennen würde ich ihn unbefristet einstellen anstatt ne Einmalzahlung zu veranlassen.
 
Cr4y schrieb:
An die kommen sie aber nicht so einfach ran. Die Lagern irgendwo Off-Shore.

Nein, das Geld befindet sich zu über 90% in den USA.
Die Anlage erfolgt ziemlich konservativ größtenteils in US-Firmenobligationen (z.Z. 148 Mrd.$) und US-Staatsanleihen (66 Mrd.$).
Das Geld ist dabei trotzdem steuerrechtlich nicht vereinnahmt und Apple kann deshalb damit in den USA tatsächlich nicht viel anfangen außer es vermehren. Außerhalb der USA ist es aber einsetzbar und die 1,7 Mrd.€ für die geplanten europäschen Data Center kommen ganz bestimmt nicht von US-Konten...

CR4NK schrieb:
Wenn jemand jedoch wirklich in der Lage ist, relevante Sicherheitslücken zu erkennen würde ich ihn unbefristet einstellen anstatt ne Einmalzahlung zu veranlassen.

Du meinst, das ist ein verkapptes Rekrutierungsprogramm und die Lücken stammen Apple selbst? :D
 
Zuletzt bearbeitet von einem Moderator:
An den Vergütungen sieht man, dass Bug Bountys höchstens Symbolcharachter haben. Alibi Programme um zu zeigen, "seht her, wir sind um eure Sichherheit besorgt". Regierungen, Dikaturen haben erhebliches Interesse an solchen Lücken (siehe Pegasus bei dem Menschenrechtsaktivisten, FBI (Fall Bostonattentat) etc) und Geld spielt bei denen keine Rolle.

smalM schrieb:
Nein, das Geld befindet sich zu über 90% in den USA.
Die Anlage erfolgt ziemlich konservativ größtenteils in US-Firmenobligationen (z.Z. 148 Mrd.$) und US-Staatsanleihen (66 Mrd.$).
Das Geld ist dabei trotzdem steuerrechtlich nicht vereinnahmt und Apple kann deshalb damit in den USA tatsächlich nicht viel anfangen außer es vermehren. Außerhalb der USA ist es aber einsetzbar und die 1,7 Mrd.€ für die geplanten europäschen Data Center kommen ganz bestimmt nicht von US-Konten...
Er meint sicher die Cashreserven die in irgendeinem Steuerparadies gebunkert liegen. Aber es stimmt Apple würde in den USA Anleihen emitieren um Kapital zu holen. Ist Steuerlich günstiger.
 
Zuletzt bearbeitet:
"wie ihr seht hat kaum jemand eine Sicherheitslücke gefunden, ergo ist iOS sicher!"
 
wenn das wirklich so sein sollte, warum gibt es dann eigentlich keinen aktuellen jailbreak?

es gibt ja diverse hackergruppen, die welche rausgebracht haben, aber bei ios10 war das ja eher mau. da muss ja mehr dahinter stecken.
 
CR4NK schrieb:
[...]Wenn jemand jedoch wirklich in der Lage ist, relevante Sicherheitslücken zu erkennen würde ich ihn unbefristet einstellen anstatt ne Einmalzahlung zu veranlassen.

In diesem Bereich gibt es einen recht großen Teil an Freischaffenden, denen Festanstellungen nicht attraktiv erscheinen. Wobei finanzielle Anreize oft nicht ziehen, da das Einkommensniveau solcher Experten meist schon recht hoch ist und sich lieber die Freiheit gegönnt wird anstatt noch mehr Kohle.

Auch will man solche Experten nicht unbedingt in der eigenen Firma haben. Deren Fähigkeiten kommen ja auch daher, dass sich da mit allem möglichem Kram beschäftigt wird. In einer Firma mit vergleichsweise starren Dienstanweisungen verkümmert da das KnowHow. Das letzte Chaosradio zu "Intrusion Detection und Incident Response" geht da etwas in die Richtung.
http://chaosradio.ccc.de/cr236.html
Ergänzung ()

Lusche1234 schrieb:
wenn das wirklich so sein sollte, warum gibt es dann eigentlich keinen aktuellen jailbreak?

Wenn es einen Jailbreak gibt, dann ist der wertvoll. Bei der Veröffentlichung wird Apple sehr schnell daran arbeiten, dass alle entsprechenden Lücken gefixt werden. Damit wird der Exploit wertlos. Da sich Marktpreise etabliert haben, die den initialen Findern bis zu US$ 1,5Mio. vom 0day-Händler einbringen. Wobei die Händler diese Exploits dann natürlich auch mit deutlichen Aufschlägen verkaufen. Da steckt einfach so viel Geld dahinter, dass da nur noch eine Minderheit Exploits frei zugänglich macht und verheizt.

Ansonsten werden Angriffe auf iOS die einem Rootrechte verschaffen zunehmend schwerer.
 
Zuletzt bearbeitet:
Lusche1234 schrieb:
wenn das wirklich so sein sollte, warum gibt es dann eigentlich keinen aktuellen jailbreak

Daran sieht man, dass an der News was nicht stimmt. Eine Quelle hat wohl erfahren, dass das Programm von Apple nicht oder kaum genutzt wird und aussoziiert damit gleich, dass Apple zu wenig Geld zahlt, weil andere Firma mehr zahlen bzw. Behörden etc. noch mehr zahlen. Alles einfach blödsinn. Das iOS eines der sichersten Betriebssysteme ist, weiß ja eigentlich jeder. Dementsprechend ist es auch schwer Lücken dafür zu finden. Diese Mühe machen sich halt kaum welche. Wie du ja schon sagst, gibt es ja kaum aktuelle Jailbreaks, also kann es ja nicht sein, dass die Lücken an die Jailbreak-Szene verkauft werden.
 
smalM schrieb:
Du meinst, das ist ein verkapptes Rekrutierungsprogramm und die Lücken stammen Apple selbst? :D

Nein ich mein das so wie ich es auch geschrieben hab.

@Piktogramm
Ja macht Sinn. Dachte da eher an Freaks / Nerds die es nicht so dolle haben.
 
Die NSA zahlt einfach besser. Wer glaubt, IOS 10 ist durch ein nicht genutztes BUG Bounty System "100% Bug Free", der glaubt auch an den Weihnachtsmann.

Eine Sicherheitslücke im "ungejailbaren" IOS10 ist weit mehr wert, als die lächerlichen 200.000$.
 
scheischmanfred schrieb:
Wie du ja schon sagst, gibt es ja kaum aktuelle Jailbreaks, also kann es ja nicht sein, dass die Lücken an die Jailbreak-Szene verkauft werden.

Die werden ja auch nicht an die Jailbreakszene verkauft sondern an Geheimdienste bzw. dessen Zulieferfirmen wie Gamma Systems: Die zahlen buchstäblich Millionen. Die Jailbreakszene hingegen zahlt nix, die machen das aus Spaß am Hacken. Aber wenn man natürlich Millionen fürs Hacken bekommt, wird auch jeder Jailbreaker schwach und deswegen gibts auch keine öffentlichen Jailbreaks mehr.
Und "iOS eines der sichersten Betriebssysteme" selten so ein Geschwafel gelesen.

PS: die Hardwareplattform "IPhone" ist allerdings ziemlich sicher, mit die sicherste, vor allem unter den gebräuchlichen Smartphones. Physical accees trumps everything gilt natürlich trotzdem, nur ist der Aufwand ungleich höher.
 
Zuletzt bearbeitet:
Piktogramm schrieb:
Da steckt einfach so viel Geld dahinter, dass da nur noch eine Minderheit Exploits frei zugänglich macht und verheizt.
Aber das ist doch dann auch der einzige tatsächliche Gegenwert? Wenn der Exploit nicht genutzt wird warum sollte ihn jemand kaufen? Zumal man ja in der Vergangenheut gesehen hat das ein kostenpflichtiger Jailbreak auch nicht funktioniert.
 
Zurück
Oben