Das Sicherheitsunternehmen Zerodium, zu dessen Kunden neben Firmen auch Regierungen zählen, hat eine Belohnung von einer Million Dollar für eine Methode ausgesetzt, die es erlaubt, in ein iPhone oder ein iPad mit iOS 9 einzubrechen. Der Angriff muss aus der Ferne erfolgen, beispielsweise über eine Website, eine anfällige App auf dem Gerät des Opfers oder eine Textnachricht, wie Wired berichtet. Die Prämie will es auch für weitere iOS-Exploits bezahlen – es stehen allerdings höchstens 3 Millionen Dollar zur Verfügung.
Zerodium wurde dem Bericht zufolge im Juli von Chaouki Bekrar gegründet, der auch hinter dem französischen Sicherheitsunternehmen Vupen steht. Letzteres entwickle offen Techniken zum Eindringen und gängige Software und verkaufe sie an Regierungsbehörden weltweit. Mit seiner neuen Firma suche Bekrar aber nicht nur Zero-Day-Lücken, sondern trete als Mittelsmann für Hacker auf.
„Das Hauptziel von Zerodium ist, die fortschrittlichsten und gefährlichsten Schwachstellen einzusammeln, die von talentierten Forschern weltweit entdeckt, zurückgehalten und manchmal gehortet werden“, schreibt Bekrar in einer E-Mail an Wired.
Bekrar habe nie geleugnet, dass sein Unternehmen Sicherheitslücken benutzt, um Hacking-Techniken zu entwickeln, statt sie an die jeweiligen Hersteller zu melden, damit diese Patches bereitstellen können, so Wired weiter. Gleiches gelte auch für das jetzt ausgelobte Kopfgeld für iOS-Lücken. Bedingung für die Zahlung der Belohnung sei, dass eine Lücke nicht an Apple gemeldet oder öffentlich gemacht werde.
Zu den Kunden von Vupen gehören laut Wired neben der NASA und mehreren NATO-Staaten auch nicht genannte „NATO-Partner“. Zu den möglichen Kunden von Zerodium habe sich Bekrar nicht geäußert. Die Website des Unternehmens beschreibe sie als wichtige Unternehmen aus den Bereichen Rüstung, Technologie und Finanzen sowie Regierungsbehörden.
Gegenüber Wired räumte Bekrar 2012 jedoch ein, er wisse nicht, wo Vupens Hacking-Werkzeuge tatsächlich landeten oder ob Regierungskunden sie an Dritte weiterleiteten. „Wenn Sie Waffen verkaufen, können Sie auch nicht sicherstellen, dass sie weiterverkauft werden.“
Das zuletzt kontrovers diskutierte Wassenaar-Abkommen, das den Handel mit Zero-Day-Lücken einschränken soll, sieht Bekrar nicht als Hindernis an, da die USA es noch nicht ratifiziert hätten. „Wie jedes Cybersicherheitsunternehmen werden wir uns an alle geltenden Auflagen halten“, sagte Bekrar. „Wassenaar bedeutet zusätzlichen Papierkram, aber es hält Firmen nicht davon ab, ihren Geschäften nachzugehen.“
2012 lag laut Wired der Preis für einen iOS-Exploit bei 250.000 Dollar und damit deutlich über den rund 60.000 Dollar, die für einen Android-Hack gezahlt wurden. Im Jahr darauf habe die New York Times berichtet, eine Zero-Day-Lücke für Apples iPhone habe für 500.000 Dollar ihren Besitzer gewechselt.
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Für den Einsatz in Unternehmen sind die Samsung-Smartphones Galaxy S6 und S6 Edge vor allem wegen des in der Android-Welt einzigartigen Sicherheitssystems Knox sehr gut geeignet. Zahlreiche MDM-Anbieter unterstützen die Technologie und erleichtern damit die Integration in bestehende Infrastrukturen.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…