iPhone-Hack wird mit einer Million Dollar belohnt
Der Betrag war im September vom Start-up Zerodium ausgelobt worden, Nun erklärt es, dass eine Sicherheitslücke gemeldet wurde, die die anspruchsvollen Kriterien erfüllt. Die Aktion ist vor allem deshalb umstritten, weil die Schwachstelle geheim gehalten und von Zerodium zum Beispiel an Behörden verkauft werden soll.
Das Unternehmen Zerodium hat eigenen Angaben zufolge das im September ausgelobte Preisgeld in Höhe von einer Million Dollar an eine Gruppe ausgezahlt, die ihm einen Remote Exploit für Apples aktuelles Mobilbetriebssystem iOS 9 übermittelt hat. Den “Jailbreak” will Zerodium allerding weder Apple melden noch öffentlich machen, sondern an seine Kunden weiterverkaufen. ZU denen vermutlich Organsiationen aus Verteidigungs-, Technologie und Finanzsektor sowie Behörden. Zu denen dürfte Zerodium-Gründer Chaouki Bekrar gute Kontakte haben, ist er mit ihnen doch auch über das französischen Unternehmen Vupen im Geschäft, an dem er ebefalls betiligt ist.
Gegenüber Wired erklärte Bekrar, dass die für den Exploit genutzten Schwachstellen vielleicht “später” Apple mitgeteilt würden, damit der Hersteller Patches bereitstellen kann. Eine Bedingung für die Zahlung der Million-Prämie war es ausdrücklich, dass die ausgenutzten Schwachstellen von ihren Entdeckern weder an Apple berichtet noch öffentlich gemacht werden.
Anforderung war, dass es sich um “einen exklusiven, browserbasierten Untethered Jailbreak” handelt. Außerdem muss der Exploit eine dauerhafte, vom Nutzer unbemerkte Installation einer beliebigen App aus der Ferne auf aktualisiertem iOS-9-Gerät erlauben, indem Nutzer lediglich eine manipulierte Website in Safari oder Chrome öffnen beziehungsweise eine Textnachricht lesen.
Laut Bekrar haben zwei Teams Exploits für das Prämienprogramm eingereicht, das am 31. Oktober endete. Allerdings sei es nur einem tatsächlich gelungen, alle Anforderungen zu erfüllen. Ob das andere Team wenigsten einen Teil der ausgelobten Belohnung erhalte, werde man noch prüfen.
Zerodium wurde dieses Jahr von Chaouki Bekrar gegründet. Mit seiner anderen Firma Vupen sucht er selbst nach bislang unbekannten Kücken, um die kommerziell zu verwerten. Mt seiner neuen Firma tritt Bekrar dagegen lediglich als Händler für Sicherheitslücken auf. Auf der Website wird der Aufkauf von bislang unbekannten Sicherheitslücken in allen gängigen Betriebssystemen, in Software wie Microsoft Exchange und Microsoft Word, Adobe Flash Player und Adobe Reader, WordPress und Apache HTTP Server beworben.
[mit Material von Björn Greif, ZDNet.de]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.