Sicherheitsanbieter zahlt eine Million Dollar für iPhone-Hack

Das Sicherheitsunternehmen Zerodium, zu dessen Kunden neben Firmen auch Regierungen zählen, hat eine Belohnung von einer Million Dollar für eine Methode ausgesetzt, die es erlaubt, in ein iPhone oder ein iPad mit iOS 9 einzubrechen. Der Angriff muss aus der Ferne erfolgen, beispielsweise über eine Website, eine anfällige App auf dem Gerät des Opfers oder eine Textnachricht, wie Wired berichtet. Die Prämie will es auch für weitere iOS-Exploits bezahlen – es stehen allerdings höchstens 3 Millionen Dollar zur Verfügung.

„Durch die zunehmende Zahl von Sicherheitsverbesserungen und die Effektivität der Funktionen zur Minderung von Exploits ist Apples iOS derzeit das sicherste mobile OS“, zitiert Wired aus einer Pressemitteilung von Zerodium. „Aber lassen Sie sich nicht täuschen, sicher bedeutet nicht unzerbrechlich, es bedeutet nur, dass iOS derzeit die höchsten Kosten und größte Komplexität hat, um eine Anfälligkeit auszunutzen, und an der Stelle kommt die Belohnung von einer Million Dollar ins Spiel.“

Zerodium wurde dem Bericht zufolge im Juli von Chaouki Bekrar gegründet, der auch hinter dem französischen Sicherheitsunternehmen Vupen steht. Letzteres entwickle offen Techniken zum Eindringen und gängige Software und verkaufe sie an Regierungsbehörden weltweit. Mit seiner neuen Firma suche Bekrar aber nicht nur Zero-Day-Lücken, sondern trete als Mittelsmann für Hacker auf.

„Das Hauptziel von Zerodium ist, die fortschrittlichsten und gefährlichsten Schwachstellen einzusammeln, die von talentierten Forschern weltweit entdeckt, zurückgehalten und manchmal gehortet werden“, schreibt Bekrar in einer E-Mail an Wired.

Bekrar habe nie geleugnet, dass sein Unternehmen Sicherheitslücken benutzt, um Hacking-Techniken zu entwickeln, statt sie an die jeweiligen Hersteller zu melden, damit diese Patches bereitstellen können, so Wired weiter. Gleiches gelte auch für das jetzt ausgelobte Kopfgeld für iOS-Lücken. Bedingung für die Zahlung der Belohnung sei, dass eine Lücke nicht an Apple gemeldet oder öffentlich gemacht werde.

Zu den Kunden von Vupen gehören laut Wired neben der NASA und mehreren NATO-Staaten auch nicht genannte „NATO-Partner“. Zu den möglichen Kunden von Zerodium habe sich Bekrar nicht geäußert. Die Website des Unternehmens beschreibe sie als wichtige Unternehmen aus den Bereichen Rüstung, Technologie und Finanzen sowie Regierungsbehörden.

Gegenüber Wired räumte Bekrar 2012 jedoch ein, er wisse nicht, wo Vupens Hacking-Werkzeuge tatsächlich landeten oder ob Regierungskunden sie an Dritte weiterleiteten. „Wenn Sie Waffen verkaufen, können Sie auch nicht sicherstellen, dass sie weiterverkauft werden.“

Das zuletzt kontrovers diskutierte Wassenaar-Abkommen, das den Handel mit Zero-Day-Lücken einschränken soll, sieht Bekrar nicht als Hindernis an, da die USA es noch nicht ratifiziert hätten. „Wie jedes Cybersicherheitsunternehmen werden wir uns an alle geltenden Auflagen halten“, sagte Bekrar. „Wassenaar bedeutet zusätzlichen Papierkram, aber es hält Firmen nicht davon ab, ihren Geschäften nachzugehen.“

2012 lag laut Wired der Preis für einen iOS-Exploit bei 250.000 Dollar und damit deutlich über den rund 60.000 Dollar, die für einen Android-Hack gezahlt wurden. Im Jahr darauf habe die New York Times berichtet, eine Zero-Day-Lücke für Apples iPhone habe für 500.000 Dollar ihren Besitzer gewechselt.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.