Bug Bounty-Programme sind für mehrere Firmen wie Facebook oder Google zu einem Fixpunkt geworden, um Sicherheitslücken zu finden. Meist werden höhere Summen ausgeschrieben, um talentierte Sicherheitsforscher anzuspornen. Das Auffinden von Zero-Day-Exploits befeuert jedoch auch eine umstrittene Industrie, die das Wissen um Schwachstellen unter anderem an Geheimdienste verkauft. Ein Neuling in der Branche ist das erst vor wenigen Monaten gestartete Unternehmen Zerodium, das nun mit einer spektakulären Herausforderung aufhorchen lässt. Wer es schafft, Apples vor kurzem veröffentlichtes iOS 9 zu hacken, bekommt 1 Million US-Dollar.

"Derzeit sicherstes mobiles System"

iOS sei wie alle Betriebssysteme oft von Sicherheitslücken betroffen, schreibt das Unternehmen in einem Blogeintrag. Durch zunehmende Sicherheitsverbesserungen sei es derzeit das sicherste mobile System. Das bedeute jedoch nicht, dass es unknackbar sei. Hier kommt die "Million Dollar iOS 9 Bug Bounty" ins Spiel.

Der Hack oder Jailbreak muss dazu führen, dass aus der Ferne eine App auf ein iPhone oder iPad mit iOS 9 installiert werden kann. Dabei kann eine Schwachstelle entweder über eine manipulierte Website in Safari oder Google Chrome, eine App oder per SMS bzw. MMS ausgenutzt werden. Die Schwachstellen dürfen davor noch nicht bekannt gewesen sein. Bedingung ist, dass die Exploits exklusiv Zerodium übermittelt werden. Das inkludiert auch, dass Apple davor nicht in Kenntnis gesetzt werden darf.

Der Wettbewerb spricht vor allem Sicherheitsforscher und Jailbreak-Entwickler an. Insgesamt will Zerodium 3 Millionen Dollar an drei Teams bzw. Personen ausschütten.

Umstrittenes Vorgehen

Zerodium mag zwar erst im Sommer 2015 gestartet sein, Gründer Chaouki Bekrar ist im Bereich Cybersecurity jedoch kein unbekanntes Gesicht. So hat er unter anderem das Unternehmen Vupen mitgegründet, das darauf spezialisiert ist Zero-Day-Lücken zu finden und unter anderem an Behörden zu verkaufen. In der IT-Branche wird kritisiert, dass dieses Vorgehen nicht der Erhöhung der Sicherheit diene und Exploits auch in den Händen von Kriminellen landen könnten.

Die neue Firma von Bekrar bezahlt nun Hacker für die Übermittlung von Zero-Day-Exploits, um sie ebenfalls weiterzuverkaufen. Nach eigenen Angaben gehören zu den Kunden des Unternehmens "große Konzerne aus den Bereichen Verteidigung, Technologie und Finanzen" sowie "Regierungsorganisationen, die spezielle, maßgeschneiderte Cybersecurity-Möglichkeiten" benötigen". (br, 22.9.2015)