Über Jahre hat Apple den Mac als Rechner für alle vermarktet, die Sicherheit und Privatsphäre an erste Stelle setzen. Geschlossene Plattform, strenge Kontrollen, schnelle Updates – und immer wieder der unterschwellige Claim, dass macOS weniger anfällig für Angriffe sei als die Konkurrenz. 
Umso größer ist nun der Stirnrunzler in der Security-Szene: Nur wenige Wochen nachdem Apple die Prämien im eigenen Security-Bounty-Programm nach oben geschraubt hatte, werden ausgerechnet die Belohnungen für macOS-Lücken drastisch gekürzt – in einer Phase, in der Malware für den Mac deutlich zunimmt.
Wer nicht täglich mit Sicherheitsforschung zu tun hat, unterschätzt leicht, wie zentral Bug-Bounty-Programme geworden sind. Statt ausschließlich auf interne Teams zu setzen, bezahlen Unternehmen unabhängige Forscher dafür, Schwachstellen kontrolliert zu melden, statt sie ausnutzen oder auf dem Graumarkt verhökern zu lassen. Gute Bounties sorgen dafür, dass sich monatelange Reverse-Engineering-Arbeit auch dann lohnt, wenn man den verantwortungsvollen Weg wählt. Sinkt die Prämie unter einen gewissen Punkt, kippt diese Balance – und genau hier sehen viele Experten Apple nun über die Stränge schlagen.
Den aktuellen Aufreger ins Rollen brachte der macOS-Sicherheitsforscher Csaba Fitzl vom Unternehmen Iru. Er nahm die aktualisierte Bounty-Übersicht auf Apples Website Zeile für Zeile auseinander und legte auf LinkedIn offen, wie hart insbesondere macOS-Kategorien beschnitten wurden. Was vorher wie ein vorsichtiger Schulterschluss mit der Community wirkte, liest sich nach der Anpassung eher wie eine Sparrunde mit Kollateralschäden für die Mac-Sicherheit.
Am deutlichsten spürbar ist das bei vollständigen TCC-Bypasses. TCC – die Abkürzung steht für Transparency, Consent and Control – ist die Schutzschicht, die nachfragt, wenn Apps an Kamera, Mikrofon, Fotos, Kalender oder andere sensible Bereiche wollen. Ein echter Volltreffer in dieser Kategorie bedeutet, dass eine schädliche App diese Dialoge einfach umgehen und im Hintergrund auf private Daten zugreifen kann. Bis vor Kurzem bewertete Apple solche Funde mit bis zu 30.500 US-Dollar. In der neuen Tabelle stehen dafür im macOS-Bereich maximal 5.000 Dollar – ein Schnitt von rund 83 Prozent bei einer der kritischsten Schwachstellenklassen überhaupt.
Auch bei Sandbox-Escapes wird spürbar der Rotstift angesetzt. Die Sandbox ist so etwas wie der Sicherheitskäfig einer App: Sie soll verhindern, dass ein kompromittiertes Programm beliebig auf Systemressourcen zugreifen oder andere Apps angreifen kann. Gelingt ein Escape, fällt dieser Käfig in sich zusammen – häufig ein entscheidender Baustein für eine vollständige Kompromittierung. Laut Fitzls Vergleich lagen die möglichen Prämien hier zuvor um die 10.000 Dollar, inzwischen sind es nur noch 5.000. Für Fehler, die sich im echten Angriffsszenario hervorragend mit weiteren Lücken kombinieren lassen, ist das bestenfalls eine mittelgroße Anerkennung.
Noch kleiner fällt die Belohnung für eine dritte Kategorie aus: Lücken, über die sich Daten aus eigentlich TCC-geschützten Bereichen – etwa Fotos – abgreifen lassen, ohne den TCC Target Flag zu nutzen. Technisch sind das oft kreative Edge-Cases, die zeigen, wie komplexe Systeme in der Praxis aneinander vorbeireden. Sicherheitstechnisch bleibt das Ergebnis dasselbe: Informationen, die nach Apples Designentscheidungen tabu sein sollten, landen doch in fremden Händen. Trotzdem winken hier nur noch 1.000 Dollar. Für viele unabhängige Forscher ist das eher symbolisches Taschengeld als seriöser Ausgleich für spezialisierte Arbeit.
Besonders irritierend: Die Kürzungen fallen in eine Zeit, in der Mac-spezifische Bedrohungen erwachsen geworden sind. Mac-Malware ist längst mehr als nervige Adware; Passwort-Stealer, Kryptodiebstahl, maßgeschneiderte Spionagetools und gezielte Angriffe auf Unternehmen mit vielen Macs im Fuhrpark sind inzwischen Alltag der Incident-Response-Teams. Kurz gesagt: macOS ist längst eine lukrative Zielplattform. Wer die Belohnungen für genau jene Lücken senkt, die solche Angriffe frühzeitig sichtbar machen könnten, setzt auf eine riskante Wette.
Gleichzeitig investiert Apple durchaus sichtbar in defensive Technik. Der Lockdown-Modus etwa schaltet auf iPhone und Mac zahllose Komfortfunktionen ab, um die Angriffsfläche für besonders gefährdete Nutzerinnen und Nutzer radikal zu verkleinern. Safari wurde in den vergangenen Jahren immer weiter in einzelne Prozesse zerschnitten, damit kompromittierte Webseiten nicht das komplette System mitreißen. Und auf Hardware-Ebene sollen Mechanismen wie Memory Integrity Enforcement auf Chips der A19-Familie es Angreifern wesentlich schwerer machen, Speicherfehler in zuverlässige Exploits zu verwandeln. Auf dem Papier ergibt das ein beeindruckendes Sicherheitsportfolio.
Doch all diese Schutzschichten sind nur so stark wie die Bereitschaft, sie gnadenlos testen zu lassen. Kritiker argumentieren, dass Apple mit den gekürzten macOS-Prämien den falschen Leuten das falsche Signal schickt. Ein TCC-Bypass, der jahrelang auf dem grauen Markt deutlich höhere Summen erzielt, ist für einige Forscher verführerischer als die offizielle Anerkennung. Besonders in Regionen, in denen Bug-Bounties einen großen Teil des Einkommens ausmachen, ist die Entscheidung, ob man mit Apple kooperiert, eine harte wirtschaftliche Rechnung – und keine Frage des Idealismus.
Warum Apple diesen Kurs einschlägt, bleibt bislang Spekulation. Möglich, dass man intern zu der Einschätzung kommt, macOS sei mittlerweile deutlich widerstandsfähiger und wirklich gravierende Fehler seien seltener – entsprechend müsse man nicht mehr so stark in Bounties investieren. Oder die Prämien sollen über alle Plattformen hinweg vereinheitlicht werden. Von außen betrachtet wirken die Kürzungen allerdings eher wie klassisches Cost-Cutting, während andere Tech-Konzerne ihre Bug-Bounty-Programme ausbauen und offensiv um Research-Talent werben.
Für die meisten Mac-Besitzer bedeutet das nicht, dass ihr Gerät über Nacht unsicher wird. Die vorhandenen Schutzmechanismen verschwinden nicht, nur weil auf der Bounty-Seite neue Zahlen stehen. Aber Bug-Bounty-Programme sind eine langfristige Wette auf die Zukunft: Sie bestimmen mit, wie viele kluge Köpfe freiwillig nach den richtig hässlichen Problemen suchen – und ob diese Probleme bei Apple landen oder in den Händen von Akteuren, die ganz andere Ziele verfolgen. Die spannendere Frage lautet daher weniger, ob Apple den Mac »nicht mehr liebt«, sondern ob der Konzern die Arbeit derjenigen angemessen wertschätzt, die das Sicherheitsversprechen rund um macOS überhaupt erst einlösen helfen.
1 kommentar
Apple so: „Sicherheit ist unser Kernwert“ – und dann halbieren sie die Bounties, alles klar 😂