Seit über zehn Jahren gewährleistet Apple die Sicherheit seiner iPhones. Das geschieht vornehmlich dadurch, dass der Hersteller den Zugriff auf den Software-Kern weitestgehend verbietet. Für den Endnutzer funktioniert dieses Verfahren ganz gut, hat aber externe Sicherheitsexperten schon immer geärgert.
Jailbreaks werden unnötig
Denn die verschlossene Softwarearchitektur macht es nahezu unmöglich, unter die Haube zu schauen, um zu verstehen, was passiert, wenn etwas schiefgeht. Kein Wunder also, dass es vornehmlich Softwareexperten waren, die in den letzten Jahren immer wieder versucht haben, funktionierende Jailbreaks für Apples iOS zu entwickeln. Ebenso hatte sich ein Schwarzmarkt entwickelt, auf dem die speziell für den internen Gebrauch Apples konfektionierten iPhones gehandelt werden.
All das könnte bald überflüssig werden, denn Apple will sich weiter öffnen. Nachdem das Unternehmen erst vor einem Jahr sein bis dahin privates Bug-Bounty-Programm für die Öffentlichkeit geöffnet hatte, geht das Unternehmen nun den nächsten Schritt.
Apple Security Research Device Program: Sicherheitslücken schneller finden
Um seine iPhones insgesamt sicherer zu machen, will Apple die bislang nur intern genutzten iPhones mit speziell angepasstem iOS an ausgewählte Sicherheitsexperten abgeben. Im Rahmen dieses neuen „Apple Security Research Device Program“ erhalten die externen Experten Features, die sie bislang nicht zur Verfügung haben, darunter etwa SSH-Zugang, sowie eine Root-Shell, die Befehle auf Systemebene ausführbar macht. Zudem sollen die offenen iPhones, die Apple lieber als „Security Research Device“ (SRD) bezeichnet, Debugging-Tools mitbringen, die die Fehlersuche vereinfachen.
Strenge Anforderungen an Qualifikation und Nutzung
Die Ausgabe der SRD knüpft Apple an Bedingungen, die schon bei der Qualifikation des Bewerbers beginnen. So wird der Hersteller die Experten, denen ein SRD zukommen soll, streng handverlesen. Infrage kommen nur solche Mitglieder des Entwickler-Programms, die auf eine erfolgreiche Karriere als Finder von Sicherheitslücken zurückblicken können.
Zudem werden die in begrenzter Zahl verfügbaren Geräte nur verliehen. Die Leihe ist auf zunächst 12 Monate ausgelegt, kann aber verlängert werden. Für den Alltagsgebrauch sind die SRD nicht zugelassen. Die Geräte dürfen nur von zuvor durch Apple zugelassenen Entwicklern verwendet werden. Zusätzlich müssen sich die Teilnehmer am Device-Programm verpflichten, eventuell entdeckte Sicherheitslücken direkt an Apple zu melden. Dafür gelten dann allerdings die Belohnungen aus dem Bug-Bounty-Programm.