Apple öffnet iOS für Sicherheitsforscher

Es stellt im Rahmen des Security Research Device Program spezielle iPhones zur Verfügung. Sie bieten Sicherheitsforschern einen Shell-Zugang. Einige Forscher, darunter auch Googles Project Zero, kritisieren Apples strenge Regeln und fühlen sich dadurch ausgeschlossen.

Apple macht sein Mobilbetriebssystem iOS für Sicherheitsforscher zugänglich. Es reagiert damit auf Kritik, wonach die Beschränkungen des OS, mit denen Apple die Sicherheit seiner Nutzer gewährleisten will, auch zu deren Nachteil sein können: Sie sperren unabhängige Sicherheitsforscher aus und verhindern, dass sie Schwachstellen finden, die von Hackern ausgenutzt werden können.

Apple Security Research Device (Bild: Apple)Zu diesem Zweck bietet der iPhone-Hersteller nun das Apple Security Research Device Program an. „Als Teil von Apples Engagement für Sicherheit soll dieses Programm dazu beitragen, die Sicherheit für alle iOS-Benutzer zu verbessern, mehr Forscher auf das iPhone zu bringen und die Effizienz für diejenigen zu steigern, die bereits an der Sicherheit von iOS arbeiten. Es umfasst ein iPhone, das ausschließlich der Sicherheitsforschung gewidmet ist und über einzigartige Richtlinien zur Codeausführung und -eindämmung verfügt“, heißt es auf der Developer-Website von Apple.

Ein Security Research Device ist ein herkömmliches iPhone, das einen Shell-Zugang bietet und es Forschern erlaubt, beliebe Tools auszuführen. Darüber hinaus soll sich das Gerät wie ein gewöhnliches iPhone verhalten, damit es als repräsentatives Forschungsobjekt gelten kann.

Die Geräte bleiben Eigentum von Apple und werde jeweils für einen Zeitraum von 12 Monaten zur Verfügung gestellt, der jedoch verlängert werden kann. Eine tägliche Nutzung untersagt Apple ausdrücklich – die Geräte dürfen Räumlichkeiten der Programmteilnehmer grundsätzlich nicht verlassen. Zudem muss jeder Teilnehmer den Zugriff auf von Apple autorisierte Personen beschränken.

Darüber hinaus verlangt Apple, dass alle Teilnehmer jegliche Sicherheitslücken, die sie finden oder prüfen, an Apple melden. Das gilt auch für von anderen Forschern entdeckte Schwachstellen, die sie lediglich bestätigen sollen. Anfälligkeiten dürfen zudem nur zu einem von Apple genannten Termin öffentlich gemacht werden. Apple sagt indes zu, alle Bugs so schnell wie möglich zu beseitigen. Zudem sind alle gefundenen Schwachstellen für eine Belohnung nach Apples Security Bounty Program qualifiziert.

Interessenten müssen sich für die Teilnahme an dem Programm bewerben. Laut Apple sind möglicherweise nicht genug Geräte für alle Interessenten vorhanden – eine weitere Anmeldemöglichkeit will Apple aber erst im kommenden Jahr anbieten. Zudem schränkt Apple die Herkunft der Forscher auf 23 Staaten ein, darunter auch Deutschland.

Einige Sicherheitsforscher, darunter auch Googles Project Zero, kündigten bereits an, nicht an dem Programm teilnehmen zu wollen. Sie wollen sich unter anderem nicht der Auflage beugen, dass Apple bestimmt, wann eine Schwachstelle offengelegt wird. Der Google-Mitarbeiter Ben Hawkers vermutet gar, dass diese Regelung gezielt Forscher ausschließen soll, die sich einer Offenlegung von Sicherheitslücken innerhalb von 90 Tagen verpflichtet haben.

„Fristen für eine Offenlegung sind ein Standvorgehen in der Branche. Sie sind notwendig“, sagte der Sicherheitsforscher Axi0mX im Gespräch mit ZDNet USA. „Apple verlangt von den Forschern, dass sie nach dessen Ermessen eine unbegrenzte Zeit warten müssen, bevor sie Fehler offenlegen können, die mit dem Security Research Device Program gefunden wurden. Es gibt keine Frist. Dies ist eine Giftpille.“

Apples Ruf in der Sicherheits-Community ist nicht sehr gut. Ein Vorwurf lautet, dass Apple sein Security Bounty Program nur nutzen soll, um Forscher mundtot zu machen. Per Twitter kritisierte der Sicherheitsforscher Jeff Johnson im April, das Unternehmen habe im Rahmen des im Dezember gestarteten Programms seines Wissens nach noch keine einzige Belohnung ausgezahlt. „Das ist ein Witz. Ich glaube, es geht nur darum, Forscher so lange wie möglich zu Fehlern zum Schweigen zu bringen.“

Eine Offenlegung von Schwachstellen nach einer festgelegten Frist ist umstritten. Sie soll vor allem den Druck auf die Hersteller erhöhen, zeitnah einen Patch bereitzustellen. Schließlich könnten jederzeit auch Cyberkriminelle auf denselben Fehler stoßen und aus einem dem Hersteller bekannten Bug eine Zero-Day-Lücke machen. Gegner einer starren Frist argumentieren indes, dass sich nicht jede Sicherheitslücke fristgerecht beheben lässt und eine Offenlegung vor allem zu Lasten von Nutzern erfolgt.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Themenseiten: Apple, Sicherheit, iOS, iPhone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Apple öffnet iOS für Sicherheitsforscher

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *