Sicherheitsfirma bietet 1,5 Millionen Dollar für Hack von iOS 10

30. September 2016, 16:06
6 Postings

Erhöhung um 50 Prozent im Vergleich zu iOS 9 – Unternehmen verkauft Funde an staatliche Stellen weiter

Das Unternehmen Zerodium, das am umstrittenen Markt für Sicherheitslücken tätig ist, hat seine Belohnung für den Hack von Apples mobilem Betriebssystem iOS kräftig nach oben geschraubt. 1,5 Millionen Dollar bietet man nun maximal für Informationen über eine noch unbekannte Lücke ("Zero Day"), nebst Nachweis dafür, dass man mit ihrer Ausnutzung Kontrolle über das jeweilige Gerät erhält.

Damit liegt die neueste Version um 50 Prozent höher als noch iOS 9. Zerodium nennt dafür zwei Gründe, schreibt Ars Technica.

Nachfrage und Aufwand

Die ausgelobten Summern reflektieren einerseits den Aufwand, der für das Aufspüren und Ausnutzen von Schwachstellen notwendig ist. Und dieser ist durch neue Sicherheitsvorkehrungen mit iOS 10 deutlich gestiegen.

Andererseits spielt auch die Nachfrage nach Lücken für ein bestimmtes System eine Rolle. Dieser dürfte für das neue System von Beginn an hoch sein. Da Apple mit seinen Updates auch zahlreiche ältere Gerätegenerationen unterstützt – aktuell bis zurück zum iPhone 5 aus 2012 und iPad 2 aus 2011 – und viele User schnell aktualisieren, wird es schnell zur vorherrschenden Version werden.

Auch für Schwachstellen in Android 7 "Nougat" zahlt man nun mehr als noch für Version 6 "Marshmallow", nämlich 200.000 statt 100.000 Dollar. Weil die meisten Geräte im Android-Universum von den jeweiligen Herstellern aktualisiert werden, die dabei oft nachlässig sind, ist die Versionsfragmentierung hier sehr hoch. Bis Android 7 die dominanten Ausgabe wird, dürfte noch einige Zeit vergehen. Derzeit sind die Ausgaben 5.0 und 5.1 "Lollipop" (2014/2015) mit einem Anteil von 35 Prozent dominierend.

Lückenhändler

Zerodium zahlt bedeutend höhere "Bountys" für neue Schwachstellen als Apple und Google selbst. Das Geschäftsmodell des Unternehmens besteht darin, Informationen über Sicherheitslücken zu erwerben und anschließend mit Profit an staatliche Stellen weiterzuverkaufen, ohne dass diese erfahren, wer sie ursprünglich entdeckt und einen Hack entwickelt hat. Typische Interessenten sind Sicherheitsbehörden, die die Zero Days etwa nutzen, um Verdächtige auszuspionieren. (gpi, 30.09.2016)

  • Bis zu 1,5 Millionen Dollar zahlt Zerodium für bislang unbekannte Lücken in iOS 10.
    foto: derstandard.at/pichler

    Bis zu 1,5 Millionen Dollar zahlt Zerodium für bislang unbekannte Lücken in iOS 10.

Share if you care.