Belohnung: Apple erhöhte die Prämien für gemeldete Schwachstellen

Apple erhöht die Prämien des hauseigenen Belohnungsprogramms für das Auffinden von Sicherheitslücken deutlich. Seit Start 2020 wurden über 35 Millionen Dollar an mehr als 800 Forschende vergeben, teils mit Einzelbeträgen von bis zu 500.000 Dollar. Jetzt kündigt Apple das nächste Kapitel an.

Neues System ab November

Es besteht in noch höheren Prämien, erweiterten Kategorien und einem neuen „Target Flags”-System, das die Ausnutzbarkeit von Fehlern objektiv belegen soll und somit eine beschleunigte Auszahlung der Prämien ermöglicht. Die Änderungen treten im November 2025 in Kraft, eine vollständige Liste von Kategorien, Belohnungen und Boni wird dann veröffentlicht.

Das Belohnungsprogramm gilt für alle von Apples Betriebssystemen: iOS, iPadOS, macOS, visionOS, watchOS und tvOS.

Die bisher lancierten Änderungen betreffen folgende Bereiche:

Neue Höchstpreise

Sogenannte Exploit-Ketten, die ähnlich wie Spionageangriffe tief in Systeme eindringen (können), werden zukünftig mit bis zu 2 Millionen US-Dollar vergütet, mit Boni (z. B. Lockdown Mode-Umgehungen und Fehler in Beta-Software) potenziert sich dies auf über 5 Millionen US-Dollar. Auch in anderen Bereichen erhöhen sich die Beträge teils deutlich, für einen unautorisierten Zugriff auf die iCloud beispielsweise sogar auf 1 Million US-Dollar. Da es auf macOS möglich ist, Software aus verschiedenen Quellen auszuführen, ist Apples „Gatekeeper“ die vorderste Verteidigungslinie bei der Abwehr von Schadsoftware. Für eine komplette Umgehung des Gatekeepers werden daher 100.000 US-Dollar geboten. Apple betont, dass so ein Angriff bisher noch nie gezeigt werden konnte, daher nun die hohen Belohnungen.

Apple nennt noch ein paar weitere Beispiele für erhöhte Belohnungen ab November. Für einen „Zero-Click-Chain-Exploit“, also eine Schwachstelle, die keinerlei Nutzerinteraktion erfordert, werden zukünftig zwei statt einer Million US-Dollar gezahlt. Für einen „One-Click-Chain-Exploit“ (ein Klick durch den Benutzer) sind es ab November eine Million, statt bisher 250.000 US-Dollar.

Mehr Kategorien

Genauere Informationen erfolgen erst zum Start des neuen Programms im November, allgemein geht es aber darum, mehr Angriffsarten im Belohnungsprogramm abzudecken. Apple hat aber schon ein weiteres Beispiel genannt: Für das Auffinden eines „Wireless-Proximity-Exploits“, also einer Schwachstelle, die drahtlos (Wi-Fi, NFC, und so weiter) ausgenutzt werden kann, werden eine Million US-Dollar geboten.

„Target Flags“-System

Neben den Erhöhungen und neuen Kategorien soll es zukünftig auch um die schnellere Auszahlung von Belohnungen gehen, dies soll das „Target-Flag“-System sicherstellen. Hintergedanke ist, dass Forschende ihre Kenntnisse zu Schwachstellen objektiv belegen können und dadurch eine rasche Auszahlung der Belohnungen sichergestellt ist, noch bevor es ein Patch für das Problem gibt, da Apple an den „Flags“ (englisch für „Flaggen“) objektiv erkennen kann, dass eine Schwachstelle vorliegt. Wie das mit den „Target-Flags“ genau funktioniert bleibt zur Stunde offen, laut Apple sind die Flaggen aber in den eigenen Betriebssystemen eingebaut. Die Namensgebung des System beruht auf dem Spielprinzip „Capture-the-Flag“. Wer die Flagge schnappt, bekommt die Belohnung.

Belohnung auch für theoretische Schwachstellen

Apple betont, dass die Top-Belohnungen nur für Schwachstellen gelten, die die aktuell verfügbare Software und Hardware betreffen. Neueste Geräte und Betriebssystemversionen mit fortschrittlichen Sicherheitsfunktionen, wie beim iPhone 17, erhöhen den Wert zusätzlich. Abseits davon werden jährlich auch zahlreiche Berichte über Schwachstellen abseits vom Belohnungsprogramm eingereicht, die meist nur geringe Auswirkungen auf die reale Nutzersicherheit haben. Für solche Berichte erhalten Melder künftig 1.000 US-Dollar als Belohnung. Diese zusätzlichen Belohnungen wurden bereits zeitweise getestet und werden nun dauerhaft ins Belohnungsprogramm aufgenommen.

Kostenlose iPhones für Schutzbedürftige

Apple hebt das iPhone 17 in seiner Meldung mehrfach hervor, was daran liegt, dass es von Apple als besonders sicher eingestuft wird. Grund dafür ist die sogenannte „Memory Integrity Enforcement“-Funktion. Diese sorgt dafür, dass kein ungeprüfter Code in sicherheitsrelevanten Bereichen des Speichers ausgeführt werden beziehungsweise Daten verändert werden können.

Apple hatte bereits im Jahr 2022 ein Programm aufgelegt, mit dem damals iPhones im Wert von 10 Millionen US-Dollar an Organisationen verteilt wurde, die sich zivilgesellschaftlich engagieren. Da in solchen Organisationen oft ein hohes Maß an Datenschutz und Datensicherheit besteht, vor allem in nicht demokratischen Ländern, wird das Programm jetzt mit iPhones der aktuellen Generation neu aufgelegt. Die Organisationen können die Smartphones dann an besonders betroffene Mitglieder weiterreichen. Es liegen keine weiteren Informationen zum diesjährigen Umfang des Programms vor.

Für 2026 hat Apple außerdem verkündet, dass es ein weiteres Programm gibt, das Personen offen steht, die über nachweisliche Kompetenz in der Sicherheitsforschung verfügen. Interessenten können sich bis zum 31. Oktober 2025 bewerben. Meldungen, die über das „Security Research Device Program“ genannte Projekt gemeldet werden, erhalten bevorzugte Bearbeitung im oben genannten Belohnungsprogramm.