Unmoralisches Angebot: 1 Mio. Dollar für iOS 9-Exploit sind geboten

Beta, iOS 9, OS X El Capitan, Apple WWDC Bildquelle: Apple

Wer eine ordentliche Sicherheitslücke in Apples neuem Mobile-Betriebssystem iOS 9 entdeckt und für einen ausreichend hohen Betrag bereit ist, alle Moral fallen zu lassen, kann Millionär werden. Das Unternehmen Zerodium bietet jetzt eine Million Dollar für einen funktionierenden Exploit an.

Die Firma lobte damit den wohl höchsten Preis aus, den bisher jemand für Informationen zu einer Sicherheitslücke zu zahlen bereit ist. Sicherheitsforscher, die hier zuschlagen wollen, müssen sich allerdings beeilen. Das Angebot gilt vorerst nur bis zum 31. Oktober. Weiterhin müssen verschiedene Voraussetzungen erfüllt werden, um an den ausgelobten Betrag zu kommen.

iOS 9

So muss der Exploit in der Lage sein, alle Sicherheitsvorkehrungen, die Apple in sein Betriebssystem eingebaut hat, zu umgehen. Dazu gehören Features wie Sandboxes, Rootless, die Erforderlichkeit von Code-Signaturen und so weiter. Das Ziel besteht darin, so aus der Entfernung eine Anwendung auf dem iOS-Gerät installieren zu können, die ausreichend Rechte besitzt, um auch wirksam verwendet zu werden. Als Angriffsvektoren, über die der Code eingeschleust wird, kommen entsprechend manipulierte Webseiten oder Kurznachrichten in Frage. Voraussetzung ist natürlich auch, dass der Exploit auf allen Geräten funktioniert, auf denen iOS 9 laut Apple installiert werden kann.

Auch weniger gute Exploits lohnen sich

Laut Zerodium können aber auch Sicherheitsforscher mit Belohnungen rechnen, deren Exploits nicht alle Anforderungen erfüllen - allerdings gibt es dann entsprechend weniger Geld. Doch auch hier können schon ordentliche Summen erzielt werden. Insgesamt hat das Unternehmen für den Aufkauf von iOS 9-Exploits ein Budget von drei Millionen Dollar eingeplant.

Die noch junge Firma will sich mit der Aktion offenbar möglichst schnell auf dem Exploit-Markt etablieren. Bisher hat das Unternehmen laut seinem Gründer Chaouki Bekrar monatlich zwischen 400.000 und 600.000 Dollar ausgegeben, um Exploits für Windows und Android aufzukaufen.

Firmen dieser Art sind schon lange aktiv - in Europa ist das französische Vupen wohl der bekannteste Anbieter aus dieser Branche. Die Informationen über Sicherheitslücken werden von diesen Unternehmen nicht genutzt, um den Code zu Gunsten der Nutzer zu verbessern. Stattdessen verkaufen sie Exploits an Regierungsorganisationen wie beispielsweise verschiedene Geheimdienste, um diesen die Möglichkeit zu geben, Nutzer auszuspionieren. Insofern erklärt sich auch der hohe finanzielle Wert, den eine ordentliche iOS-Schwachstelle auf diesem Markt hat.

Weitere Informationen: US-Militär will Exploits kaufen und bringt so viele Nutzer in Gefahr