Apple startet überarbeitetes Bug-Bounty mit Rekordprämien bis 5 Mio. US‑$

Apple hat eine Überarbeitung seines Bug-Bounty-Programms angekündigt, die im November starten soll und mit einigen der höchsten Prämien der Branche lockt. Der Maximalbetrag für Exploit-Ketten von der Komplexität von Spyware-Angriffen wird verdoppelt – von 1 Million auf 2 Millionen US‑Dollar. Für besonders kritische Schwachstellen – etwa Fehler in Betasoftware oder ein Umgehen des Lockdown-Modus in Safari – sind sogar bis zu 5 Millionen US‑Dollar vorgesehen.

Auch in anderen Angriffszenarien steigen die Sätze deutlich. Für One‑Click‑Exploits gibt es künftig bis zu 1 Million US‑Dollar statt bislang 250.000. Der Höchstbetrag für Schwachstellen, die räumliche Nähe zum Gerät verlangen, klettert auf 1 Million US‑Dollar; wer Zugang zu gesperrten Geräten ermöglicht, kann bis zu 500.000 US‑Dollar erhalten. Zusätzlich zahlt Apple bis zu 300.000 US‑Dollar für eine Angriffskette, die Codeausführung in WebContent mit einem Sandbox‑Escape kombiniert.

Nach Angaben von Ivan Krstić, Vice President für Sicherheit bei Apple, hat das Unternehmen in den vergangenen Jahren mehr als 35 Millionen US‑Dollar an über 800 Forschende ausgezahlt. Zugleich betonte er, hohe Einzelprämien seien selten – auch wenn Apple wiederholt 500.000 US‑Dollar für kritische Fehler vergeben habe.

Das Unternehmen hob hervor, dass alle dokumentierten Angriffe auf Systemebene in iOS in der Praxis mit sogenannter Söldner‑Spyware in Verbindung standen, die häufig von staatlichen Stellen für gezielte Überwachung eingesetzt werde. Neue Schutzmechanismen – darunter der Lockdown‑Modus und Memory Integrity Enforcement – erschweren solche Angriffe, auch wenn sich Gegner stetig weiterentwickeln. Mit den höheren Prämien setzt Apple unübersehbar den Schwerpunkt: gefragt sind die Schwachstellen, die im Alltag die Sicherheitslage tatsächlich verschieben können.