News Sicherheitslücken: Apples Bug Bounty ist ein Flop

tobias84

Redakteur
Teammitglied
Dabei seit
Juli 2015
Beiträge
419
#1
Apples im September 2016 gestartetes Bug-Bounty-Programm stößt einem Bericht zufolge auf wenig Resonanz. Der Hauptgrund für das geringe Interesse seien die vergleichsweise niedrigen Honorare, die Apple für gefundene Sicherheitslücken zahlt. Auf dem Schwarzmarkt lassen sich Experten zufolge weit höhere Beträge erzielen.

Zur News: Sicherheitslücken: Apples Bug Bounty ist ein Flop
 
Dabei seit
Jan. 2017
Beiträge
514
#2
Daran sieht man mal wieder was das für ein Unternehmen ist, auf der einen Seite die mit Abstand teuersten Produkte verkaufen und auf der anderen Seite an jeder Ecke rumgeizen. Die App Store Ausschüttungen haben sie auch gesenkt. Aber bei den niedrigen Gewinnen absolut verständlich. :rolleyes:
 

Palmdale

Lt. Commander
Dabei seit
Apr. 2009
Beiträge
1.574
#3
Hm, an der falschen Stelle gespart? Leisten könnte man sichs ja, sitzt man doch auf Milliarden ungenutzter Dollars :p
 

Axxid

Rear Admiral
Dabei seit
Feb. 2012
Beiträge
5.796
#4
Ich hätte nicht gedacht das es dort um solche Summen geht :freak:
Und Google/MS/FB zahlen mehr ?
 

Cr4y

Lt. Commander
Dabei seit
Mai 2007
Beiträge
1.972
#5
Hm, an der falschen Stelle gespart? Leisten könnte man sichs ja, sitzt man doch auf Milliarden ungenutzter Dollars :p
An die kommen sie aber nicht so einfach ran. Die Lagern irgendwo Off-Shore. Wenn die in den USA genutzt werden wollen, müssen die noch versteuert werden. Zumindest sofern ich mich richtig erinnere.

Ka. Also für mich würde es aus moralischen Gründen nicht in Frage kommen, die Sachen auf dem Schwarzmarkt zu verticken. Ist auch eine Sache die man den Sicherheitslückensuchern vorwerfen könnte: Absolute Geldgeilheit.
 

ottoman

Lt. Commander
Dabei seit
Mai 2008
Beiträge
1.519
#6
Willst du jetzt sagen, dass du eine Lücke lieber kostenlos veröffentlichen würdest, anstatt sie für 1Mio+ zu verkaufen? Ist klar :rolleyes:
 
Dabei seit
Dez. 2009
Beiträge
2.414
#7
Ist ja auch kein Wunder, wenn ganze Regierungen indirekt auf die Lücken mitbieten und damit die Preise hochtrieben. Solang die lieben Geheimdienste dieses Verhalten für vernünftig halten, wird sich da kaum etwas ändern. Da kann Apple wahrscheinlich noch so viel Geld anbieten...
 
Zuletzt bearbeitet:

CR4NK

Lt. Commander
Dabei seit
Jan. 2008
Beiträge
1.460
#9
Daran sieht man mal wieder was das für ein Unternehmen ist, auf der einen Seite die mit Abstand teuersten Produkte verkaufen und auf der anderen Seite an jeder Ecke rumgeizen...
Von den Reichen lernt man das Sparen.

Wenn jemand jedoch wirklich in der Lage ist, relevante Sicherheitslücken zu erkennen würde ich ihn unbefristet einstellen anstatt ne Einmalzahlung zu veranlassen.
 

smalM

Commander
Dabei seit
Aug. 2007
Beiträge
2.576
#10
An die kommen sie aber nicht so einfach ran. Die Lagern irgendwo Off-Shore.
Nein, das Geld befindet sich zu über 90% in den USA.
Die Anlage erfolgt ziemlich konservativ größtenteils in US-Firmenobligationen (z.Z. 148 Mrd.$) und US-Staatsanleihen (66 Mrd.$).
Das Geld ist dabei trotzdem steuerrechtlich nicht vereinnahmt und Apple kann deshalb damit in den USA tatsächlich nicht viel anfangen außer es vermehren. Außerhalb der USA ist es aber einsetzbar und die 1,7 Mrd.€ für die geplanten europäschen Data Center kommen ganz bestimmt nicht von US-Konten...

Wenn jemand jedoch wirklich in der Lage ist, relevante Sicherheitslücken zu erkennen würde ich ihn unbefristet einstellen anstatt ne Einmalzahlung zu veranlassen.
Du meinst, das ist ein verkapptes Rekrutierungsprogramm und die Lücken stammen Apple selbst? :D
 
Zuletzt bearbeitet:

facepoop

Lt. Junior Grade
Dabei seit
Aug. 2015
Beiträge
291
#11
An den Vergütungen sieht man, dass Bug Bountys höchstens Symbolcharachter haben. Alibi Programme um zu zeigen, "seht her, wir sind um eure Sichherheit besorgt". Regierungen, Dikaturen haben erhebliches Interesse an solchen Lücken (siehe Pegasus bei dem Menschenrechtsaktivisten, FBI (Fall Bostonattentat) etc) und Geld spielt bei denen keine Rolle.

Nein, das Geld befindet sich zu über 90% in den USA.
Die Anlage erfolgt ziemlich konservativ größtenteils in US-Firmenobligationen (z.Z. 148 Mrd.$) und US-Staatsanleihen (66 Mrd.$).
Das Geld ist dabei trotzdem steuerrechtlich nicht vereinnahmt und Apple kann deshalb damit in den USA tatsächlich nicht viel anfangen außer es vermehren. Außerhalb der USA ist es aber einsetzbar und die 1,7 Mrd.€ für die geplanten europäschen Data Center kommen ganz bestimmt nicht von US-Konten...
Er meint sicher die Cashreserven die in irgendeinem Steuerparadies gebunkert liegen. Aber es stimmt Apple würde in den USA Anleihen emitieren um Kapital zu holen. Ist Steuerlich günstiger.
 
Zuletzt bearbeitet:

Bart1

Cadet 4th Year
Dabei seit
Aug. 2015
Beiträge
65
#13
Dabei seit
Apr. 2011
Beiträge
952
#14
wenn das wirklich so sein sollte, warum gibt es dann eigentlich keinen aktuellen jailbreak?

es gibt ja diverse hackergruppen, die welche rausgebracht haben, aber bei ios10 war das ja eher mau. da muss ja mehr dahinter stecken.
 

Piktogramm

Rear Admiral
Dabei seit
Okt. 2008
Beiträge
5.360
#15
[...]Wenn jemand jedoch wirklich in der Lage ist, relevante Sicherheitslücken zu erkennen würde ich ihn unbefristet einstellen anstatt ne Einmalzahlung zu veranlassen.
In diesem Bereich gibt es einen recht großen Teil an Freischaffenden, denen Festanstellungen nicht attraktiv erscheinen. Wobei finanzielle Anreize oft nicht ziehen, da das Einkommensniveau solcher Experten meist schon recht hoch ist und sich lieber die Freiheit gegönnt wird anstatt noch mehr Kohle.

Auch will man solche Experten nicht unbedingt in der eigenen Firma haben. Deren Fähigkeiten kommen ja auch daher, dass sich da mit allem möglichem Kram beschäftigt wird. In einer Firma mit vergleichsweise starren Dienstanweisungen verkümmert da das KnowHow. Das letzte Chaosradio zu "Intrusion Detection und Incident Response" geht da etwas in die Richtung.
http://chaosradio.ccc.de/cr236.html
Ergänzung ()

wenn das wirklich so sein sollte, warum gibt es dann eigentlich keinen aktuellen jailbreak?
Wenn es einen Jailbreak gibt, dann ist der wertvoll. Bei der Veröffentlichung wird Apple sehr schnell daran arbeiten, dass alle entsprechenden Lücken gefixt werden. Damit wird der Exploit wertlos. Da sich Marktpreise etabliert haben, die den initialen Findern bis zu US$ 1,5Mio. vom 0day-Händler einbringen. Wobei die Händler diese Exploits dann natürlich auch mit deutlichen Aufschlägen verkaufen. Da steckt einfach so viel Geld dahinter, dass da nur noch eine Minderheit Exploits frei zugänglich macht und verheizt.

Ansonsten werden Angriffe auf iOS die einem Rootrechte verschaffen zunehmend schwerer.
 
Zuletzt bearbeitet:
Dabei seit
Apr. 2009
Beiträge
514
#16
wenn das wirklich so sein sollte, warum gibt es dann eigentlich keinen aktuellen jailbreak
Daran sieht man, dass an der News was nicht stimmt. Eine Quelle hat wohl erfahren, dass das Programm von Apple nicht oder kaum genutzt wird und aussoziiert damit gleich, dass Apple zu wenig Geld zahlt, weil andere Firma mehr zahlen bzw. Behörden etc. noch mehr zahlen. Alles einfach blödsinn. Das iOS eines der sichersten Betriebssysteme ist, weiß ja eigentlich jeder. Dementsprechend ist es auch schwer Lücken dafür zu finden. Diese Mühe machen sich halt kaum welche. Wie du ja schon sagst, gibt es ja kaum aktuelle Jailbreaks, also kann es ja nicht sein, dass die Lücken an die Jailbreak-Szene verkauft werden.
 

CR4NK

Lt. Commander
Dabei seit
Jan. 2008
Beiträge
1.460
#17

D708

Lt. Commander
Dabei seit
Juli 2015
Beiträge
1.659
#18
Die NSA zahlt einfach besser. Wer glaubt, IOS 10 ist durch ein nicht genutztes BUG Bounty System "100% Bug Free", der glaubt auch an den Weihnachtsmann.

Eine Sicherheitslücke im "ungejailbaren" IOS10 ist weit mehr wert, als die lächerlichen 200.000$.
 

HominiLupus

Fleet Admiral
Dabei seit
Okt. 2013
Beiträge
33.550
#19
Wie du ja schon sagst, gibt es ja kaum aktuelle Jailbreaks, also kann es ja nicht sein, dass die Lücken an die Jailbreak-Szene verkauft werden.
Die werden ja auch nicht an die Jailbreakszene verkauft sondern an Geheimdienste bzw. dessen Zulieferfirmen wie Gamma Systems: Die zahlen buchstäblich Millionen. Die Jailbreakszene hingegen zahlt nix, die machen das aus Spaß am Hacken. Aber wenn man natürlich Millionen fürs Hacken bekommt, wird auch jeder Jailbreaker schwach und deswegen gibts auch keine öffentlichen Jailbreaks mehr.
Und "iOS eines der sichersten Betriebssysteme" selten so ein Geschwafel gelesen.

PS: die Hardwareplattform "IPhone" ist allerdings ziemlich sicher, mit die sicherste, vor allem unter den gebräuchlichen Smartphones. Physical accees trumps everything gilt natürlich trotzdem, nur ist der Aufwand ungleich höher.
 
Zuletzt bearbeitet:

Mad.Mike

Lt. Junior Grade
Dabei seit
Aug. 2007
Beiträge
279
#20
Da steckt einfach so viel Geld dahinter, dass da nur noch eine Minderheit Exploits frei zugänglich macht und verheizt.
Aber das ist doch dann auch der einzige tatsächliche Gegenwert? Wenn der Exploit nicht genutzt wird warum sollte ihn jemand kaufen? Zumal man ja in der Vergangenheut gesehen hat das ein kostenpflichtiger Jailbreak auch nicht funktioniert.
 
Top