Das Geschäft mit den iOS-Sicherheitslücken
Apple ist stets drauf und dran, für die entsprechende Sicherheit in iOS zu sorgen und seinen Nutzern ein möglichst sicheres und sorgenfreies Arbeiten mit dem mobilen Endgerät zu gewährleisten. Um eventuelle Fehler und Sicherheitslücken in einem Betriebssystem ausfindig zu machen, zahlen einige Hersteller Hackern oder Sicherheitsforschern teilweise viel Geld in Form einer Prämie. Diese Sicherheitslücken können dann schnellstmöglich vom Hersteller geschlossen werden.
Apple weigerte sich zunächst solche finanziellen Anreize zu schaffen, um das Melden von Lücken attraktiver zu gestalten. Vor Kurzem hat sich jedoch auch der US-amerikanische Konzern entschieden ein Prämienmodell einzuführen. So erhält jede Person, die eine erhebliche Sicherheitslücke in der aktuellen iOS-Version findet, eine finanzielle Entschädigung von bis zu 200.000 US-Dollar. Nun macht sich jedoch das Problem breit, dass Zero-Day-Jäger mehr als das Doppelte für solche Meldungen von Sicherheitslücken zahlen – da bleibt nur Frage bei wem sich die Entdecker des Bugs dann melden werden.
Zero-Day – der unmittelbare Angriff
Als Zero-Day-Lücke wird eine Schwachstelle in einem IT-System bezeichnet, die noch am selben Tag durch einen Angriff ausgenutzt wird. Die Lücke wird deshalb Zero-Day genannt, da zwischen Entdeckung des ersten Angriffs auf das System und der Entdeckung der Sicherheitslücke null Tage liegen. Sogenannte Zero-Day-Jäger suchen nach eben diesen Lücken, um sie für kriminelle Machenschaften ausnutzen zu können. Bei einer Reichweite wie der des mobilen Betriebssystems iOS von Apple könnten solche Angriffe ernsthafte Probleme nach sich ziehen.
Bei dem gutzahlenden Zero-Day-Jäger, der Apple nun Konkurrenz macht, handelt es sich um das Unternehmen Exodus Intelligence. Die Firma bietet für neue Zero-Day-Lücken bis zu 500.000 US-Dollar – eine stolze Summe, für die es sich zu suchen lohnt. Der Zusatz „bis zu“ wird vom Unternehmen präzisiert, denn für einen kleineren Bug mit unerheblichen Auswirkungen und eingeschränktem Zugriff auf das iOS-Device zahlt Exodus Intelligence natürlich nicht den Höchstbetrag aus. So gibt man bekannt, dass für das volle Preisgeld ein Bug gefunden werden muss, der aus der Entfernung den uneingeschränkten Zugriff auf das mobile Endgerät liefern muss.
Hinter dem Handel mit Zero-Day-Lücken steckt ein ausgefeiltes Geschäftsmodell von Exodus Intelligence. Zwar bietet das Unternehmen auch stolze Summen für erfolgreiche Hacker, doch verkauft diese dann für deutlich mehr Geld an entsprechende Firmen weiter. Offiziell will man damit Software-Entwicklern helfen, ihre Dienste abzusichern. Die Wahrheit sieht aber anders aus: Beim Weiterverkauf handelt es sich oftmals gar nicht um das Unternehmen selbst, welches für die Auslieferung der Software zuständig ist, sondern vielmehr um Konkurrenz-Firmen, die dem Ursprungskonzern schaden wollen. Stichwort: Firmenspionage und Geheimdienste. Exodus Intelligence ist nicht die einziger Firma, die solch einen Handel betreibt. Zerodium arbeitet ähnlich und sorgte 2015 für Aufruhr als Informationen für Lücken in Chrome und iOS für eine Millionen US-Dollar aufgekauft wurden. Die Preisliste bei Exodus Intelligence hört bei iOS jedoch nicht auf. So werden für Lücken in Google Chrome bis zu 150.000 US-Dollar und für Fehler in Windows 10 75.000 USD ausgeschüttet. Bis zu 60.000 Dollar werden für Sicherheitslücken im Flash-Plugin gezahlt.
-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.
10 Kommentare zu dem Artikel "Das Geschäft mit den iOS-Sicherheitslücken"
-
....::..... 11. August 2016 um 17:44 Uhr ·Die sollten mal lieber bei Android suchen da ist es wichtiger. Außerdem sind Meldungen die ein großes Sicherheits Problem bei IOS sind eher selten.iLike 14
-
Segafredo 11. August 2016 um 19:08 Uhr ·Aufgrund der vielen Bugs, lihnt es sich wohl nicht… Oder die Firma wäre längst pleite ?iLike 11
-
Koala 11. August 2016 um 20:54 Uhr ·was ist android ?iLike 2
-
-
Nicolai 11. August 2016 um 18:22 Uhr ·Ist denn das legal???iLike 3
-
BigBadWulf 11. August 2016 um 19:38 Uhr ·JaiLike 2
-
-
DinoSaurier 11. August 2016 um 19:37 Uhr ·Das ist einfach nur krank was da läuft. Das fügt nicht nur den Kunden Schaden zu sondern auch der Wirtschaft und gefährdet massiv Arbeitsplätze. Die Behörden jagen lieber ein paar Hanf-Freunde, als sich um wirklich kriminelle Machenschaften zu kümmern. Unfassbar!iLike 15
-
Hans 11. August 2016 um 19:51 Uhr ·Sollte verboten werden per Gesetz !iLike 4
-
bmbsbr 11. August 2016 um 22:02 Uhr ·Was sollte verboten werden?iLike 1
-
-
Leo 11. August 2016 um 19:57 Uhr ·Bei Android muss man kein Geld bieten da gibts tausendeiLike 6
-
Scunkaneli 16. August 2016 um 18:57 Uhr ·Diese Bug-Bounty gilt *NICHT* für jede Person. Apple hat dies sozusagen „privat“ gestaltet, dh nur von Apple eingeladene Personen haben die Möglichkeit, für das Finden ihrer Lücken ausbezahlt zu werden. Dies sieht bei anderen Diensten ala Zerodium oder Exodus natürlich anders aus, hier kann jeder mitmachen der möchte.iLike 0