Hackergruppe erhält für iOS-9-Exploit eine Million Dollar Preisgeld

Ausgelobt hatte die Belohnung der Sicherheitsanbieter Zerodium für einen exklusiven Remote Exploit für Apples jüngstes Mobilbetriebssystem. Er will die für den Jailbreak ausgenutzten Schwachstellen nicht öffentlich machen, sondern an seine Kunden verkaufen, zu denen auch Regierungsbehörden zählen.

Der Sicherheitsanbieter Zerodium hat nach eigenen Angaben das im September ausgelobte Preisgeld von einer Million Dollar an eine Hackergruppe ausgezahlt, die einen Remote Exploit für Apples jüngstes Mobilbetriebssystem iOS 9 entwickelt hat. iPhone-Nutzer dürften davon aber nicht profitieren, weil Zerodium den exklusiven „Jailbreak“ nicht öffentlich machen will. Stattdessen wird es ihn wahrscheinlich ausschließlich seinen Kunden zur Verfügung stellen, zu denen laut Wired führende Unternehmen aus dem Verteidigungs-, Technologie und Finanzsektor sowie Regierungsorganisationen zählen.

Gegenüber Wired erklärte Zerodium-Gründer Chaouki Bekrar, der auch hinter dem französischen Sicherheitsspezialisten Vupen steht, dass man die für den Exploit genutzten Schwachstellen nicht sofort an Apple melden werde. Aber vielleicht werde man den iPhone-Hersteller „später“ mit Informationen versorgen, damit dieser Patches für die Lücken bereitstellen kann.

Damit folgt Zerodium offenbar der Strategie von Vupen, das entdeckte Sicherheitslücken nicht sofort an die jeweiligen Hersteller meldet, sondern auf ihrer Basis Hacking-Techniken entwickelt. Eine Bedingung für die Zahlung der 1-Million-Dollar-Prämie war sogar, dass die ausgenutzten Schwachstellen nicht an Apple berichtet oder öffentlich gemacht werden.

Das ist auch ein Grund dafür, dass sich das chinesische Pangu-Team mit seinem bereits verfügbaren iOS-9-Jailbreak nicht für das Belohnungsprogramm qualifizieren konnte. Weil seine Methode nicht aus der Ferne funktioniert und bereits öffentlich ist, erfüllte sie nicht die Anforderungen an „einen exklusiven, browserbasierten Untethered Jailbreak“. Eine weitere Voraussetzung war, dass der Exploit eine dauerhafte, heimliche Installation einer beliebigen App aus der Ferne auf einem vollständig aktualisiertem iOS-9-Gerät erlaubt, indem der Nutzer lediglich eine manipulierte Website in den Browsern Safari oder Chrome öffnet beziehungsweise eine Textnachricht liest.

Wie Bekrar gegenüber Wired mitteilte, haben zwei Teams entsprechende Exploits für das Prämienprogramm eingereicht, das am 31. Oktober endete. Jedoch sei es nur einem tatsächlich gelungen, einen vollständigen, ferngesteuerten Jailbreak zu entwickeln. Der Jailbreak des anderen Teams sei unvollständig. Daher könne es nur mit einem Teil der ausgelobten Belohnung rechnen, was aber noch zu prüfen sei.

Zero-Day-Exploits für Apple-Geräte sind für manche Unternehmen oder Regierungsbehörden zweifelsohne von hohem Wert. Apple und mit Android 6.0 auch Google sichern ihre Smartphones inzwischen standardmäßig durch Verschlüsselung ab. Daher müssen Ermittlungsbehörden und Geheimdienste auf noch unbekannte Schwachstellen zurückgreifen, um die vorhandenen Sicherheitsvorkehrungen zu umgehen und Geräte zu überwachen. Der Verkauf solcher Lücken dürfte für Zerodium ein lukratives Geschäft sein.

Daher hat es für Exploits abseits von Apple ebenfalls hohe Belohnungen ausgesprochen. Sie winken Hackern für neu entdeckte Lücken in Android, Windows, Chrome, Adobe Flash und Windows Phone.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ANZEIGE

MobileIron: Sichere Verwaltung von Android-Geräten

In vielen Unternehmen nutzen Mitarbeiter ihre privaten mobilen Geräte. Unternehmen, die dieser Szenario erlauben, sollten sich Gedanken über eine leistungsfähige Enterprise Mobility Management Suite machen. Nur damit lassen sich Unternehmensdaten gegen nicht autorisierten Zugriff absichern.

Themenseiten: Apple, Jailbreak, iOS 9

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

14 Kommentare zu Hackergruppe erhält für iOS-9-Exploit eine Million Dollar Preisgeld

Kommentar hinzufügen
  • Am 3. November 2015 um 17:16 von Mac-Harry

    Cooles Geschäft.

    • Am 3. November 2015 um 18:10 von sehr cool

      Cool:
      -neues ios aus ferne jailbreakbar
      -„dauerhafte, heimliche Installation einer beliebigen App aus der Ferne auf einem vollständig aktualisiertem iOS-9-Gerät erlaubt, indem der Nutzer lediglich eine manipulierte Website in den Browsern Safari oder Chrome öffnet beziehungsweise eine Textnachricht liest.“

  • Am 3. November 2015 um 19:39 von super cool

    Ich schreibe es ja schon immer. iPhones und iPads sind so sicher das wirklich jeder halbwegs begabte Crack alles klauen kann. Und nun bekommt jeder Geheimdienst ganz offizell den Zugang zu jedem iPhone. OK, die NSA hat das Passwort zur „Hintertür für den Service“ schon lange und in China darf Apple ja auch nur verkaufen weil der Sicherheitsapperates den vollen Zugriff auf alle iPhones bekommen hat. Aber sonst sind die Apple-Geräte die sichersten der Welt. Sagt Apple. Und ich glaube denen natürlich, die würden doch nie lügen.

  • Am 3. November 2015 um 19:49 von PeerH

    Klingt irgendwie kriminell. Vielleicht kann man Zerodium wegen ‚Unterstützung einer kriminellen Vereinigung‘ anklagen? Wer garantiert uns, dass diese ‚Lücke‘ denn nicht auch an Kriminelle verkauft wird?

    • Am 3. November 2015 um 21:52 von Judas Ischias

      Wer garantiert denn dass alles wahr ist, was so Leute wie der Cook erzählen, denn auch da müssen doch berechtigte Zweifel angebracht sein?
      Das Gelaber wird nicht nur meinem Eindruck nach einfach geglaubt, und hier als bare Münze hingestellt, so wie es den Applejüngern gerade in den Kram passt.

      • Am 4. November 2015 um 8:40 von PeerH

        Das sagt uns der Markt – und Logik. Von beidem verstehst Du offensichtlich nichts. Wenn denn iOS nicht die höchste Sicherheit blte, dann würde so eine Sicherheitslückennicht eine Million Dollar einbtingen – und vermutlich für noch mehr weiterverkauft werden können.

        Sicherheitslücken für Android gibt es für ein Butterbrot – zu einfach welche zu finden, da zahlt niemand eine Million.

        • Am 5. November 2015 um 22:46 von Judas Ischias

          Der Markt ist ja wohl ganz offensichtlich mit einer sehr großen Zahl von Lemmingen bevölkert, die so ziemlich alles von Apple gut finden und kaufen, was da auch von oberster Stelle angepriesen wird. Ok, hilft jetzt nicht so bei der iWatch oder dem Musikdienst. Aber ist ja noch ausbaufähig. Irgendwann. ;)
          Und wenn Du weiterhin glauben willst, dass Apple sich ohne Konsequenzen ganz allein gegen den Patriot Act und dessen Folgen stellen kann, schön für Dich.
          Meine Logik sagt mir, dass das nicht möglich ist, auch wenn Obama schon mal helfend eingegriffen hat. ;)
          Denn dass es auch bei Apple nix zu verschlüsseln gibt, davon können die Prominenten aus der Film -und Showbranche ein paar gute Geschichten zu erzählen, als denen die Nacktbilder aus der Cloud geklaut wurden.
          Und ich finde es schon sehr komisch, dass just wenn eine neue Version von iOS erscheint, fast zeitgleich schon der nächste Break auf den Markt gebracht wird.
          Zeugt meiner Meinung nach nicht von besonders großer Sicherheit, zumal gerade in den letzten Monaten sehr viel von Sicherheitslücken bei Apple zu lesen ist. Und da ist es auch völlig egal ob die Lücken direkt von Apple verschuldet wurden, oder nur indirekt.
          Was lobenswert ist, dass die Lücken meistens relativ schnell geschlossen werden, was aber bei den wenigen Geräten, die Apple ja auch selbst betreut, keine große Kunst sein sollte.

    • Am 4. November 2015 um 7:52 von So, so...

      In meinen Augen sind eher Apple und seine Applelinge eine kriminelle Vereinigung. Beten sie doch ständig den iOS-Geräte-Besitzer vor wie sicher doch ihr iPhone und iPad sind. Dabei baut iOS auf BSD auf. Apple hatte anfangs „lediglich“ ein Frontend gebastelt. Der Kernel und alle wesentlcihen Elemente von iOS sind also tausenden Entwickler bekannt. Es ist also für Profis sehr leicht in kurzer Zeit ein Exploit rauszubringen. Und das können nicht nur die „Guten“ sondern auch von kriminellen Organisationen hochbezahlte Entwickler. Und das schon immer. Aber iOS ist SICHER. Und liebe Applelinge. Ich habe gerade nicht geschrieben das ich Andoid sicherer finde.

      • Am 4. November 2015 um 8:42 von PeerH

        Bla, bla, bla … und BSD ist x-mal sicherer als Windows, selbst wrnn Du ständig Äpfel mit Birnen vergleichst. ;-)

        • Am 4. November 2015 um 10:06 von So, so...

          Ich habe auch NICHT geschieben das Windows sicherer ist. Aber als Appleling musst du ja sofort wieder den ersten Ablenkungsversuch starten. Aber auch dagegen habe ich nichts. Ich habe auch nichts dagegen das Apple-Kunden von kriminellen Banden und von Apple abgezockt werden. Also mein lieber PeerH. Mache, denke und schreibe wie du es für richtig findest und lass mich das gleiche machen.OK

      • Am 4. November 2015 um 8:48 von PeerH

        Der Einzige, der gebetsmühlenartig behauptet, iOS sei ’sicher‘ bist Du. iOS ist aber ohne Zweifel erheblich sicherER als Android. Nur ignorierst Du das gerne. ;-)

        • Am 6. November 2015 um 14:41 von wisch wasch

          Solange man ein Android nicht ohne das zutun des Anwenders nicht aus der Ferne rooten und sonstige apps heimlich per versteckter SMS installieren kann, ist IOS definitiv nicht sicherer als irgend ein anderes System. Nein, es ist genau andersrum. Jedes andere ist sicherer, auch mit 1000 Sicherheitslücken, die nichts bringen wenn der Anwender nicht in einem chinesischen appstore unterwegs ist und sich freiwillig Schädlinge installiert.

  • Am 4. November 2015 um 0:05 von Tja

    Es könnte auch schlicht ‚FUD‘ sein, eine Marketing Maßnahme, die iOS Verunglimpfen soll. Möglich ist alles

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *