Hackergruppe erhält für iOS-9-Exploit eine Million Dollar Preisgeld

Der Sicherheitsanbieter Zerodium hat nach eigenen Angaben das im September ausgelobte Preisgeld von einer Million Dollar an eine Hackergruppe ausgezahlt, die einen Remote Exploit für Apples jüngstes Mobilbetriebssystem iOS 9 entwickelt hat. iPhone-Nutzer dürften davon aber nicht profitieren, weil Zerodium den exklusiven „Jailbreak“ nicht öffentlich machen will. Stattdessen wird es ihn wahrscheinlich ausschließlich seinen Kunden zur Verfügung stellen, zu denen laut Wired führende Unternehmen aus dem Verteidigungs-, Technologie und Finanzsektor sowie Regierungsorganisationen zählen.

Gegenüber Wired erklärte Zerodium-Gründer Chaouki Bekrar, der auch hinter dem französischen Sicherheitsspezialisten Vupen steht, dass man die für den Exploit genutzten Schwachstellen nicht sofort an Apple melden werde. Aber vielleicht werde man den iPhone-Hersteller „später“ mit Informationen versorgen, damit dieser Patches für die Lücken bereitstellen kann.

Damit folgt Zerodium offenbar der Strategie von Vupen, das entdeckte Sicherheitslücken nicht sofort an die jeweiligen Hersteller meldet, sondern auf ihrer Basis Hacking-Techniken entwickelt. Eine Bedingung für die Zahlung der 1-Million-Dollar-Prämie war sogar, dass die ausgenutzten Schwachstellen nicht an Apple berichtet oder öffentlich gemacht werden.

Das ist auch ein Grund dafür, dass sich das chinesische Pangu-Team mit seinem bereits verfügbaren iOS-9-Jailbreak nicht für das Belohnungsprogramm qualifizieren konnte. Weil seine Methode nicht aus der Ferne funktioniert und bereits öffentlich ist, erfüllte sie nicht die Anforderungen an „einen exklusiven, browserbasierten Untethered Jailbreak“. Eine weitere Voraussetzung war, dass der Exploit eine dauerhafte, heimliche Installation einer beliebigen App aus der Ferne auf einem vollständig aktualisiertem iOS-9-Gerät erlaubt, indem der Nutzer lediglich eine manipulierte Website in den Browsern Safari oder Chrome öffnet beziehungsweise eine Textnachricht liest.

Wie Bekrar gegenüber Wired mitteilte, haben zwei Teams entsprechende Exploits für das Prämienprogramm eingereicht, das am 31. Oktober endete. Jedoch sei es nur einem tatsächlich gelungen, einen vollständigen, ferngesteuerten Jailbreak zu entwickeln. Der Jailbreak des anderen Teams sei unvollständig. Daher könne es nur mit einem Teil der ausgelobten Belohnung rechnen, was aber noch zu prüfen sei.

Zero-Day-Exploits für Apple-Geräte sind für manche Unternehmen oder Regierungsbehörden zweifelsohne von hohem Wert. Apple und mit Android 6.0 auch Google sichern ihre Smartphones inzwischen standardmäßig durch Verschlüsselung ab. Daher müssen Ermittlungsbehörden und Geheimdienste auf noch unbekannte Schwachstellen zurückgreifen, um die vorhandenen Sicherheitsvorkehrungen zu umgehen und Geräte zu überwachen. Der Verkauf solcher Lücken dürfte für Zerodium ein lukratives Geschäft sein.

Daher hat es für Exploits abseits von Apple ebenfalls hohe Belohnungen ausgesprochen. Sie winken Hackern für neu entdeckte Lücken in Android, Windows, Chrome, Adobe Flash und Windows Phone.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.