Das Unternehmen Zerodium, das am umstrittenen Markt für Sicherheitslücken tätig ist, hat seine Belohnung für den Hack von Apples mobilem Betriebssystem iOS kräftig nach oben geschraubt. 1,5 Millionen Dollar bietet man nun maximal für Informationen über eine noch unbekannte Lücke ("Zero Day"), nebst Nachweis dafür, dass man mit ihrer Ausnutzung Kontrolle über das jeweilige Gerät erhält.

Damit liegt die neueste Version um 50 Prozent höher als noch iOS 9. Zerodium nennt dafür zwei Gründe, schreibt Ars Technica.

Nachfrage und Aufwand

Die ausgelobten Summern reflektieren einerseits den Aufwand, der für das Aufspüren und Ausnutzen von Schwachstellen notwendig ist. Und dieser ist durch neue Sicherheitsvorkehrungen mit iOS 10 deutlich gestiegen.

Andererseits spielt auch die Nachfrage nach Lücken für ein bestimmtes System eine Rolle. Dieser dürfte für das neue System von Beginn an hoch sein. Da Apple mit seinen Updates auch zahlreiche ältere Gerätegenerationen unterstützt – aktuell bis zurück zum iPhone 5 aus 2012 und iPad 2 aus 2011 – und viele User schnell aktualisieren, wird es schnell zur vorherrschenden Version werden.

Auch für Schwachstellen in Android 7 "Nougat" zahlt man nun mehr als noch für Version 6 "Marshmallow", nämlich 200.000 statt 100.000 Dollar. Weil die meisten Geräte im Android-Universum von den jeweiligen Herstellern aktualisiert werden, die dabei oft nachlässig sind, ist die Versionsfragmentierung hier sehr hoch. Bis Android 7 die dominanten Ausgabe wird, dürfte noch einige Zeit vergehen. Derzeit sind die Ausgaben 5.0 und 5.1 "Lollipop" (2014/2015) mit einem Anteil von 35 Prozent dominierend.

Lückenhändler

Zerodium zahlt bedeutend höhere "Bountys" für neue Schwachstellen als Apple und Google selbst. Das Geschäftsmodell des Unternehmens besteht darin, Informationen über Sicherheitslücken zu erwerben und anschließend mit Profit an staatliche Stellen weiterzuverkaufen, ohne dass diese erfahren, wer sie ursprünglich entdeckt und einen Hack entwickelt hat. Typische Interessenten sind Sicherheitsbehörden, die die Zero Days etwa nutzen, um Verdächtige auszuspionieren. (gpi, 30.09.2016)