Angebot zu groß: Exploit-Händler verliert Interesse an manchen iOS-Bugs

iOS-Schwachstellen, die etwa das Schadcode-Einschleusen über Apples Browser Safari erlauben, habe man vorerst zur Genüge erhalten, meint der Händler.

In Pocket speichern vorlesen Druckansicht 112 Kommentare lesen
Angebot zu groß: Exploit-Händler verliert Interessa an bestimmten iOS-Schwachstellen

(Bild: Shutterstock.com / weedezign)

Lesezeit: 2 Min.
Von
  • Leo Becker

Ein Zero-Day-Exploit-Händler will für bestimmte Bugs in iOS vorerst keine Gelder mehr ausschütten, da das Angebot angeblich zu groß ist: Man habe eine derart "hohe Zahl" an Einreichungen für spezifische Angriffsvektoren auf das iPhone- und iPad-Betriebssystem erhalten, dass man entsprechende Schwachstellen über einen Zeitraum von zwei bis drei Monaten nicht länger kaufen werde, wie die auf den Ankauf von Schwachstellen spezialisierte Firma Zerodium mitteilte.

Darunter fallen dem Händler zufolge Sicherheitslücken, die Apps eine lokale Rechteausweitung ermöglichen sowie den Ausbruch aus der Sandbox des Betriebssystems. Auch Bugs, die das Einschleusen von Schadcode über Apples auf iPhone und iPad vorinstallierten Browser Safari erlauben, sind Zerodium vorerst kein Geld mehr wert. Die Preise für Exploit-Chains, die eine Nutzerinteraktion erfordern und Code nicht dauerhaft in das Betriebssystem einschleusen können, werden in Kürze außerdem wohl sinken, merkt der Exploit-Händler an. Weitere Details wurden nicht genannt.


Zerodium zahlt für Zero-Day-Exploits, bis zu 2,5 Millionen Dollar sind für schwere Schwachstellen in Mobilbetriebssystemen ausgelobt. Die Bugs werden gewöhnlich weiterverkauft, zu den Käufern dürften auch Regierungsstellen gehören.

Der Händler machte bereits im vergangenen Sommer mit der Aussage auf sich aufmerksam, der Markt sei überflutet mit iOS-Exploits und hatte die Preise entsprechend nach unten korrigiert – teils auch unter die Preise für Android-Lücken. Für die schwerste aller Schwachstellen respektive für Exploit-Chains, die das Einschleusen von persistentem, Schadcode ohne Nutzerinteraktion ermöglichen, zahlt der Händler seitdem bis zu 2,5 Millionen Dollar für Android und 500.000 Dollar weniger für iOS.

In iOS bis hin zur aktuellen Version 13.4.1 klaffen zwei Zero-Day-Lücken, die Apple zwar in der Beta von iOS 13.5 gepatcht hat – das Update ist aber immer noch nicht allgemein verfügbar. Eine Schwachstelle soll das Manipulieren von E-Mails in Apple Mail ohne Nutzerinteraktion erlauben – und in Verbindung mit weiteren Schwachstellen theoretisch auch eine Übernahme des Systems.

Apps können sich zudem beliebige Berechtigungen einräumen und damit aus der Sandbox entkommen, um etwa Fotos und Messaging-Nachrichten des Nutzers zu klauen. Eine simple Textbombe aus Schriftzeichen kann iPhones und iPads aus der Ferne zum Absturz bringen.

Mehr Infos

t

(lbe)