Zerodium veröffentlicht Preisliste für Zero-Day-Lücken

Der Sicherheitsanbieter Zerodium, der auf den Aufkauf von Sicherheitslücken spezialisiert ist, hat als erster Vertreter seiner Branche seine Preisliste öffentlich gemacht. Sie zeigt, welche Beträge das Unternehmen Sicherheitsforschern für zuvor unveröffentlichte Zero-Day-Lücken in Betriebssystemen, Anwendungen und Geräten bezahlt. Den höchsten Wert haben demnach Fehler, die einen Remote-Jailbreak von iOS-Geräten erlauben.

Seiner Website zufolge kauft das Unternehmen Details zu Zero-Day-Lücken in den Betriebssystemen Windows 7 bis 10 und Mac OS X 10.10 und 10.11 sowie den Linux-Distributionen Ubuntu, CentOS und Tails. Auch Lücken, die es erlauben, Schadcode von einer virtuellen Maschine aus auf dem Host-System auszuführen, stehen auf der Liste. Sie bringen Forschern in der Regel bis zu 30.000 Dollar ein.

Die höchsten Preise zahlt Zerodium für Sicherheitslücken in Mobilbetriebssystemen (Bild: Zerodium).

Schwachstellen in den aktuellen Versionen der Browser Chrome, Firefox, Safari, Internet Explorer, Edge und Tor Browser sind Zerodium ebenfalls bis zu 30.000 Dollar wert. Lässt sich Schadcode sogar außerhalb der Sandbox eines Browsers ausführen, steigt die Prämie im Fall von Safari und Internet Explorer sowie Edge auf 50.000 Dollar, im Fall von Google Chrome sogar auf 80.000 Dollar.

Lukrativ ist es der Preisliste zufolge auch, nach Anfälligkeiten in Adobe Reader und Flash Player zu suchen. Ein Exploit inklusive Sandbox Escape kann hier ebenfalls bis zu 80.000 Dollar einbringen.

Die höchsten Beträge sind jedoch Remote Jailbreaks in den drei großen Mobilplattformen vorbehalten. Für einen solchen Fehler in Android oder Windows Phone erhält ein Forscher bis zu 100.000 Dollar. Steckt er in Apples iOS, steigt die Belohnung auf bis zu 500.000 Dollar.

Prämien zahlt Zerodium allerdings nur für voll funktionsfähige und zuverlässige Exploits, die die Anforderungen des Unternehmens erfüllen. Die tatsächliche Höhe der Prämie ermittelt Zerodium von Fall zu Fall. Sie richtet sich generell nach der Beliebtheit und Komplexität der betroffenen Software und der Qualität des exklusiv eingereichten Exploits.

Zuletzt hatte Zerodium mit einem Preisgeld von einer Millionen Dollar für einen Remote Exploit für iOS 9 für Aufsehen gesorgt, das Anfang November eine nicht näher genannte Hackergruppe eingestrichen hatte. Informationen zu den aufgekauften Schwachstellen macht das Unternehmen generell nicht öffentlich. Stattdessen stellt es sie seinen Kunden zur Verfügung, zu denen laut Wired führende Unternehmen aus dem Verteidigungs-, Technologie und Finanzsektor sowie Regierungsorganisationen zählen.

WEBINAR

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

Gegenüber Wired erklärte Zerodium-Gründer Chaouki Bekrar, der auch hinter dem französischen Sicherheitsspezialisten Vupen steht, dass man die für den Exploit genutzten Schwachstellen nicht sofort an Apple melden werde. Aber vielleicht werde man den iPhone-Hersteller „später“ mit Informationen versorgen, damit dieser Patches für die Lücken bereitstellen kann.

Zero-Day-Exploits für Apple-Geräte sind für manche Unternehmen oder Regierungsbehörden zweifelsohne von hohem Wert. Apple und mit Android 6.0 auch Google sichern ihre Smartphones inzwischen standardmäßig durch Verschlüsselung ab. Daher müssen Ermittlungsbehörden und Geheimdienste auf noch unbekannte Schwachstellen zurückgreifen, um die vorhandenen Sicherheitsvorkehrungen zu umgehen und Geräte zu überwachen. Der Verkauf solcher Lücken dürfte für Zerodium ein lukratives Geschäft sein.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

17 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

19 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

20 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

23 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

23 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

24 Stunden ago