Zero-Day-Jäger bieten doppelt so viel für Sicherheitslücken wie Apple

11. August 2016, 11:58
11 Postings

Exodus zahlt 500.000 US-Dollar für Lücken in aktuellem iOS – Zweifelhaftes Geschäftsmodell

Während viele große Softwarehersteller seit Jahren Bug-Bounty-Programme betreiben, hatte sich Apple lange geweigert, Sicherheitsforschern einen finanziellen Anreiz für das Melden von Lücken zu schaffen. Vor kurzem folgte dann aber die Kehrtwende, bis zu 200.000 US-Dollar bietet Apple nun für Fehler in seinem Betriebssystem iOS.

Konkurrenz

Wie relativ solche Zahlen sind, demonstriert jetzt allerdings ein aktueller Bericht von Vice Motherboard. Darin wird das Unternehmen Exodus Intelligence vorgestellt, das sich auf das Sammeln von Zero-Day-Lücken spezialisiert hat, und in Reaktion auf Apple nun ein eigenes Bug-Bounty-Programm präsentiert hat. Und die dort gebotenen Preise spielen noch mal eine Ebene höher: Bis zu 500.000 US-Dollar gibt es dort für eine kritische Sicherheitslücke in der aktuellsten iOS-Version. Auf Nachfrage präzisiert das Unternehmen, dass es für das volle Preisgeld eines aus der Entfernung ausnutzbaren Bugs bedarf, der uneingeschränkten Zugriff auf das Gerät bietet.

Handel

Freilich bietet Exodus nicht aus purer Menschenliebe solch hohe Preisgelder, viel mehr steckt dahinter ein beinhartes Geschäftsmodell. Werden solche Lücken samt passenden Exploits dann doch all den Kunden des Unternehmens bekannt gemacht, also noch bevor Apple oder andere Softwarehersteller sie schließen können. Gerne verweist man darauf, dass dieser Zero-Day-Handel für Unternehmen gedacht ist, die frühzeitig ihre Systeme absichern wollen. In Wirklichkeit werden solche Exploits eher von Geheimdiensten gekauft oder für Firmenspionage verwendet. Der betroffene Softwarehersteller wird hingegen natürlich nicht über den Bug informiert, würde dies doch schnell den Wert einer solchen Lücke absacken lassen. Bleibt eine Lücke geheim, erhalten die Entdecker dann auch noch jedes Quartal eine weitere finanzielle Abgeltung von dem Unternehmen.

Exodus ist bei weitem nicht der einzige Sicherheitsanbieter mit einem solch zweifelhaften Geschäftsmodell. So hatte etwa die Firma Zerodium im Vorjahr für einige Aufregung gesorgt, nachdem man für eine Reihe von Lücken in Chrome und iOS eine Million US-Dollar bezahlt hat.

Andere Angebot

Neben iOS hat Exodus natürlich noch andere Systeme im Visier. So gibt es für Lücken in Google Chrome bis zu 150.000 US-Dollar, für Windows 10 immerhin noch 75.000 Dollar. Am billigsten werden kritische Lücken im Flash-Plugin gehandelt für die es maximal 60.000 Dollar gibt. (apo, 11.8.2016)

  • Wer bietet mehr für Sicherheitslücken beim iPhone?
    foto: reuters

    Wer bietet mehr für Sicherheitslücken beim iPhone?

Share if you care.