Eine Million Dollar für iPhone-Hack ausgelobt
Dahinter steckt das Start-up Zerodium. Es wurde von Chaouki Bekrar gegründet, der als Gründer von Vupen bekannt wurde. Vupen ist in der Branche äußerst umstritten, da das Unternehmen von ihm aufgedeckte Probleme nicht immer den Herstellern meldet, sondern auch an Geheimdienste verkauft.
Das Start-up Zerodium hat eine Belohnung von einer Million Dollar für denjenigen ausgleobt, dem es gelingt, ein iPhone oder ein iPad mit iOS 9 erfolgrich anzugreifen. Voraussetzung ist, dass der Angriff aus der Ferne erfolgt. Dazu wäre etwa eine manipulierte Website oder App, die auf das Gerät geschleust wird, oder eine infizierte Textnachricht, denkbar. Laut Wired zahle Zerodium die Prämie auch für mehrere iOS-Exploits. Insgessamt stünden allerdings maximal drei Millionen Dollar bereit. Weitere Bedingung für die Zahlung ist es, dass die Lücke nicht an Apple gemeldet oder anderweitig öffentlich gemacht wird.
“Durch die zunehmende Zahl von Verbesserungen bei der Sicherheit und der Effizienz der Funktionen zur Reduzieung von Exploits ist Apples iOS derzeit das sicherste mobile OS”, heißt es in einer Mitteilung von Zerodium. “Aber lassen Sie sich nicht täuschen, sicher bedeutet nicht unangreifbar, es bedeutet nur, dass bei iOS die höchsten Kosten und Komplexität, um eine Anfälligkeit auszunutzen, derzeit am größten sind – und an dieser Stelle kommt die Belohnung von einer Million Dollar ins Spiel.”
Zerodium wurde erst dieses Jahr von Chaouki Bekrar gegründet. Der steht auch hinter dem französischen Sicherheitsunternehmen Vupen, das Techniken zum Eindringen in gängige Software entwickelt und diese dann an Behörden, insbesondere Geheimdienste, weltweit verkauft. Mit seiner neuen Firma tritt Bekrar nun als Händler für Sicherheitslücken auf. Auf der Website wird der Aufkauf von bislang unbekannten Sicherheitslücken in allen gängigen Betriebssystemen, in Software wie Microsoft Exchange und Microsoft Word, Adobe Flash Player und Adobe Reader, WordPress und Apache HTTP Server beschrieben.
Das geplante Wassenaar-Abkommen, das den Handel mit Zero-Day-Lücken einschränken soll, sieht Bekrar gegenüber Wired nicht als Hindernis an, da die USA es noch nicht ratifiziert haben. “Wie jedes Cybersicherheitsunternehmen werden wir uns an alle geltenden Auflagen halten”, so Bekrar. “Wassenaar bedeutet zusätzlichen Papierkram, aber es hält Firmen nicht davon ab, ihren Geschäften nachzugehen.”
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.