iOS-Bug-Bounty-Programm: Exploit-Händler will mehr zahlen als Apple
Das iPhone ist und bleibt ein wichtiges Angriffsziel.
(Bild: dpa, David Moir/Archiv)
Während Apple bis zu 200.000 US-Dollar für schwere Fehler in iOS bietet, gibt's von Exodus Intelligence bis zu 500.000 – ohne Veröffentlichung.
Apples neues Bug-Bounty-Programm bekommt Konkurrenz: Der Exploit-Verkäufer Exodus Intelligence [1] bietet für eine ausnutzbare Zero-Day-Lücke in iOS 9.3+ bis zu 500.000 US-Dollar, während Apple für Fehler im Secure-Boot-Mechanismus von iOS nur bis zu 200.000 Dollar zahlen will. Mit "iOS 9.3+" gemeint ist vermutlich iOS 9.3.4 [2] – darin wurde gerade eine Jailbreak-Lücke gefixt.
Gerne auch per Bitcoin
Exodus Intelligence verkauft die erworbenen Lücken auch an Regierungen und Geheimdienste, veröffentlicht wird ein Zero Day nicht. Bezahlt wird auf Wunsch per Scheck, Überweisung, Western Union oder Bitcoin – Anonymität wird offensichtlich zugesichert. Neben iOS-Bugs wünscht sich [3] Exodus Intelligence auch Zero Days für Google Chrome, Microsoft Edge, Firefox, Windows 10 LPE, Adobe Reader und Adobe Flash. Das Ziel iOS ist aber mit Abstand das teuerste. So bringt ein Chrome-Bug nur 150.000 Dollar, eine Flash-Lücke gar nur 60.000.
Geld für Exploits
Man freue sich darüber, die "weltweite Forschungsgemeinschaft" zu beschäftigen, "um die qualitativ hochwertigsten Informationen zu Lücken" zu sammeln, so der Präsident von Exodus Intelligence in einem Blogeintrag [4]. Die Firma konkurriert unter anderem mit Vupen und anderen Exploit-Händlern [5]. Der Markt wird immer größer, seit etwa Behörden wie das FBI bereit sind, hohe Beträge [6] für Zero Days zu bezahlen.
Apple arbeitet mit ausgewählten Forschern
Apple hatte in der vergangenen Woche ein eigenes Bug-Bounty-Programm [7] angekündigt, bei dem ausgewählte Sicherheitsforscher mitmachen dürfen. Diese erhalten die erwähnten bis zu 200.000 Dollar, wenn sie Lücken an Apple melden, damit das Unternehmen sie schließen kann. Die Idee, viel Geld für iOS-Fehler zu zahlen, ist nicht neu – so hatte das ebenfalls im Exploit-Handel tätige Unternehmen Zerodium im vergangenen Jahr gar eine Million Dollar für einen Remote Jailbreak für iOS [8] geboten. (bsc [9])
URL dieses Artikels:
https://www.heise.de/-3293301
Links in diesem Artikel:
[1] https://www.exodusintel.com/
[2] https://www.heise.de/news/iOS-9-3-4-Apple-schliesst-Jailbreak-Schwachstelle-3288669.html
[3] https://rsp.exodusintel.com/
[4] https://blog.exodusintel.com/2016/08/09/exodus-announces-new-acquisition-program-for-both-zero-day-and-n-day-vulnerabilities/
[5] https://www.heise.de/news/Promi-Hacker-Kevin-Mitnick-will-beim-Exploit-Verkauf-mitmischen-2403668.html
[6] https://www.heise.de/news/Apple-vs-FBI-Sicherheitsluecke-soll-billiger-gewesen-sein-3194535.html
[7] https://www.heise.de/news/Bug-Bounty-Programm-Auch-Apple-will-fuer-Sicherheitsluecken-zahlen-3288707.html
[8] https://www.heise.de/news/Hacker-sollen-eine-Million-US-Dollar-fuer-iOS-9-1-Jailbreak-bekommen-2868689.html
[9] mailto:bsc@heise.de
Copyright © 2016 Heise Medien