Zero-Day-Exploits

Wie viel ist eine iPhone-Sicherheitslücke wert?

Es gibt ein reges Geschäft mit dem Wissen um Sicherheitslücken, die bisher nicht behoben wurden. Ein Dienstleister, der diese aufkauft, um sie weiterzuverkaufen, hat eine Preisliste veröffentlicht.

Von   Uhr

In bestimmten Kreisen sind Sicherheitslücken in IT-Systemen überaus beliebt. Das zeigt auch eine Preisliste, die Crowdfense veröffentlicht hat (via). Demnach werden bis zu sieben Millionen Dollar für eine bislang unbekannte Schwachstelle in iOS bezahlt.

Wie viel ist eine Sicherheitslücke wert?

Crowdfense hat die Preisliste für ungepatchte Sicherheitslücken aktualisiert. Für eine iPhone-Lücke gibt es zwischen fünf und sieben Millionen Dollar. Android-Schwachstellen werden mit bis zu fünf Millionen Dollar vergütet. Aber auch, wenn du Apps knacken kannst, gehst du nicht leer aus. Für Google Chrome werden bis zu drei Millionen Dollar bezahlt, für Safari 3,5 Millionen Dollar. Lücken in iMessage sowie WhatsApp sind dem Unternehmen drei bis fünf Millionen Dollar wert.

Die aktualisierte Preisliste zeigt, dass gegenüber 2019 mehr pro Schwachstelle bezahlt wird. Damals gab es höchstens drei Millionen Dollar für iOS oder Android. Das könnte damit zusammenhängen, dass die Hersteller der Produkte ebenfalls an der Sicherheit arbeiten und ihren Code inzwischen besser kontrollieren können.

Wer bietet mehr?

Apple selbst „kauft“ ebenfalls Informationen über Sicherheitslücken an. Das Ganze geschieht über ein „Security Research Bounty“-Programm. Es wird gewissermaßen ein „Kopfgeld“ auf eine Lücke ausgesetzt. Allerdings zahlt Apple im Höchstfall zwei Millionen Dollar pro gefundener Schwachstelle. Für Sicherheitsforscher lohnt es sich also finanziell eher, ihr Wissen an Unternehmen wie Crowdfense zu verkaufen.

Noch mehr zahlen übrigens Unternehmen in Russland. Im vergangenen Jahr kündigte dort die Firma „Operation Zero“ an, bis zu 20 Millionen Dollar für einen erfolgreichen Angriff auf ein iPhone oder Android-Smartphone zu zahlen. Der höhere Preis könnte mit den internationalen Sanktionen zusammenhängen, sodass Forschende tendenziell ungern mit einem russischen Unternehmen zusammenarbeiten wollen.

Warum das Ganze?

Ein sogenannter Zero-Day-Exploit ist eine Schwachstelle, für die es noch kein Update gibt. Sie ist also auch dem Hersteller unbekannt. Ein derartiger Angriffspunkt ist deshalb beliebt, weil er sich noch „garantiert“ ausnutzen lässt. Laut Crowdfense werden die Lücken angekauft, um sie dann weiterzuverkaufen. Die Käufer sollen üblicherweise Regierungen sein, die behaupten, mit dem Wissen Kriminelle zu jagen.

Diskutiere mit!

Hier kannst du den Artikel "Wie viel ist eine iPhone-Sicherheitslücke wert?" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Die Kommentare für diesen Artikel sind geschlossen.