Apple gilt seit Jahren als Anbieter sicherer Systeme, besonders im Bereich Datenschutz. Genau in einer Zeit, in der Mac-Malware so häufig auftritt wie noch nie, sorgt das Unternehmen jedoch für Irritation. Die Sicherheitsprämien des Apple Bug-Bounty-Programms wurden deutlich gekürzt, und das betrifft ausgerechnet die kritischsten macOS-Schwachstellen. Die Entscheidung wirft Fragen auf und verändert die Dynamik zwischen Apple und den Sicherheitsforschern, die bislang einen wichtigen Beitrag zur Stabilität der Plattform geleistet haben.
Die Kürzungen der Apple Sicherheitsprämien treffen einen Bereich, der für macOS entscheidend ist. Die neuen Beträge verändern die Bedingungen für Sicherheitsforscher, die bislang Schwachstellen gemeldet und damit zur Stabilität der Plattform beigetragen haben. Gleichzeitig wächst die Zahl der Angriffe auf den Mac.
Apple kürzt Sicherheitsprämien trotz wachsender Bedrohung
Die neuen Prämien, die Apple für das Melden von Schwachstellen auszahlt, liegen deutlich unter den bisherigen Beträgen. Besonders auffällig ist die Kürzung für vollständige TCC-Umgehungen. Diese Art von Schwachstelle wurde bisher mit bis zu 30.500 Dollar vergütet, nun sind es nur noch 5.000 Dollar. Eine Kürzung um mehr als 80 Prozent. Auch einzelne TCC-Kategorien sind betroffen. Dort sanken die Prämien von 5.000 bis 10.000 Dollar auf nur noch 1.000 Dollar.
Selbst Sandbox-Escapes, bei denen sich eine App außerhalb ihrer isolierten Umgebung bewegen kann, sind von 10.000 Dollar auf 5.000 Dollar gefallen. Csaba Fitzl, leitender macOS-Sicherheitsforscher bei Iru, hat diese Werte öffentlich gemacht und betont, dass dieser Schritt ein schlechtes Signal sende. Es wirkt für viele in der Branche so, als würde Apple zugeben, dass bestimmte Probleme schwer zu lösen sind, oder als wäre das Unternehmen nicht mehr bereit, Forscher für ihre Arbeit angemessen zu bezahlen. Das steht im Widerspruch zu Apples eigenen Aussagen, bei denen Datenschutz eine zentrale Rolle spielt.
Warum TCC so wichtig ist
TCC steht für Transparenz, Zustimmung und Kontrolle. Es handelt sich dabei um ein wesentliches Sicherheitsframework von macOS, das sicherstellt, dass Apps nur mit ausdrücklicher Zustimmung Zugriff auf sensible Daten erhalten. Dazu zählt der Zugriff auf Dateien und Ordner, Inhalte von Apple-Apps wie Kontakte, Kalender oder Gesundheit, sowie die Nutzung von Mikrofon, Webcam und Bildschirmaufzeichnung.
Eine vollständige TCC-Umgehung ermöglicht es einer App, ohne Zustimmung auf private Informationen zuzugreifen. In der Vergangenheit haben Sicherheitsforscher mehrfach gravierende Schwachstellen in diesem Bereich entdeckt. Ein Beispiel betraf das Manipulieren der Einwilligungsdatenbank, wodurch macOS fälschlich annahm, dass der Nutzer einer Anfrage zugestimmt hatte. Ein anderes Beispiel war ein Code-Injection-Angriff, bei dem eine schadhafte App die bereits gewährten Berechtigungen einer vertrauenswürdigen App ausnutzen konnte.
Fitzl weist darauf hin, dass ohnehin nur wenige Sicherheitsforscher regelmäßig im macOS-Bereich arbeiten. Mit den nun reduzierten Prämien wird diese Zahl seiner Einschätzung nach noch weiter sinken.
Wachsende Risiken für die Mac-Sicherheit
Die Entscheidung von Apple kommt zu einer Zeit, in der die Anzahl von Mac-Malware-Fällen stetig wächst. Während die Bedrohungen zunehmen, sinken gleichzeitig die Anreize, entdeckte Schwachstellen direkt an Apple zu melden. Niedrigere Prämien erhöhen das Risiko, dass gefundene Sicherheitslücken stattdessen auf dem Schwarzmarkt landen könnten, wo für dieselben Informationen oft deutlich höhere Summen bezahlt werden.
Warum Apple die Prämien gerade jetzt reduziert, ist schwer nachzuvollziehen. Ein funktionierendes und attraktives Bug-Bounty-Programm gehört zu den wichtigsten Werkzeugen, um Software sicher zu halten. Wenn die Motivation der Forscher sinkt, besteht die Gefahr, dass kritische Lücken länger unentdeckt bleiben oder nicht an Apple gemeldet werden.
Auswirkungen der Kürzungen auf die Mac-Sicherheit
Die Kürzung der Apple Sicherheitsprämien betrifft genau die Schwachstellen, die für die Sicherheit von macOS besonders entscheidend sind. In einer Phase steigender Malwarebedrohungen wirkt die Entscheidung unlogisch und gibt Anlass zur Sorge. Die geringeren Anreize könnten die Zahl der macOS-Sicherheitsforscher weiter reduzieren und damit das Risiko erhöhen, dass schwere Lücken später oder gar nicht gemeldet werden. Für ein Unternehmen, das sich klar zum Datenschutz bekennt, fällt dieser Schritt besonders stark ins Gewicht. Die nächsten Reaktionen seitens Apple werden entscheidend dafür sein, wie die Branche diesen Kurswechsel einordnet. (Bild: Shutterstock / Igor Kyrlytsya)
- Apple sortiert seine KI neu während OpenAI mit Code Red reagiert
- Apple lehnt Indiens Pflicht-App ab und warnt vor Datenschutz
- Apple Music Replay 2025 zeigt die wichtigsten Trends des Jahres
- Apple ordnet KI neu: Wechsel an der Spitze nach Siri Flop
- Apple in Indien: Regierung erzwingt staatliche Sicherheitsapp
- Google kooperiert mit AWS für robustere Cloudnetze
- Studio Display: M5 iPad Pro deutet auf starkes Update hin
- Apple TV überrascht 2025 mit starkem Wachstum durch Sport
- Apple stuft iPhone SE und weitere Geräte als veraltet ein
- ChatGPT Hinweis: Beta Version liefert Belege für Werbung
- Apple im Visier: Politik fordert einheitliche Alterskontrollen
- Apple im Fokus: Neue Entwicklungen im Streit mit xAI
- Apple steigert Spendenvolumen durch limitierte Apple Pay Aktion
- Apple entwickelt Ansätze für AirPods mit EEG Sensoren
- Apple Maps vor EU-Entscheidung über Gatekeeper-Status
- Podcasts sorgen für Rätsel: Apple App startet von selbst
- Apple zeigt festlichen TV Spot 2025: „A Critter Carol“
- Apple steht weiter im Zentrum der europaweiten CSAM-Debatte
- Cell Broadcast: Entwarnungen machen DE Alert komplett
- Perplexity liefert KI-gestütztes Shopping & PayPal Bezahlung
- Apple attackiert Indiens Kartellreform und Umsatzformel
- Apple wird wegen mutmaßlicher Konfliktmineralien erneut verklagt
- China Start von Apple Intelligence rückt näher
