Zerodium veröffentlicht Preisliste für Zero-Day-Lücken

Der Sicherheitsanbieter Zerodium, der auf den Aufkauf von Sicherheitslücken spezialisiert ist, hat als erster Vertreter seiner Branche seine Preisliste öffentlich gemacht. Sie zeigt, welche Beträge das Unternehmen Sicherheitsforschern für zuvor unveröffentlichte Zero-Day-Lücken in Betriebssystemen, Anwendungen und Geräten bezahlt. Den höchsten Wert haben demnach Fehler, die einen Remote-Jailbreak von iOS-Geräten erlauben.

Seiner Website zufolge kauft das Unternehmen Details zu Zero-Day-Lücken in den Betriebssystemen Windows 7 bis 10 und Mac OS X 10.10 und 10.11 sowie den Linux-Distributionen Ubuntu, CentOS und Tails. Auch Lücken, die es erlauben, Schadcode von einer virtuellen Maschine aus auf dem Host-System auszuführen, stehen auf der Liste. Sie bringen Forschern in der Regel bis zu 30.000 Dollar ein.

Die höchsten Preise zahlt Zerodium für Sicherheitslücken in Mobilbetriebssystemen (Bild: Zerodium).

Schwachstellen in den aktuellen Versionen der Browser Chrome, Firefox, Safari, Internet Explorer, Edge und Tor Browser sind Zerodium ebenfalls bis zu 30.000 Dollar wert. Lässt sich Schadcode sogar außerhalb der Sandbox eines Browsers ausführen, steigt die Prämie im Fall von Safari und Internet Explorer sowie Edge auf 50.000 Dollar, im Fall von Google Chrome sogar auf 80.000 Dollar.

Lukrativ ist es der Preisliste zufolge auch, nach Anfälligkeiten in Adobe Reader und Flash Player zu suchen. Ein Exploit inklusive Sandbox Escape kann hier ebenfalls bis zu 80.000 Dollar einbringen.

Die höchsten Beträge sind jedoch Remote Jailbreaks in den drei großen Mobilplattformen vorbehalten. Für einen solchen Fehler in Android oder Windows Phone erhält ein Forscher bis zu 100.000 Dollar. Steckt er in Apples iOS, steigt die Belohnung auf bis zu 500.000 Dollar.

Prämien zahlt Zerodium allerdings nur für voll funktionsfähige und zuverlässige Exploits, die die Anforderungen des Unternehmens erfüllen. Die tatsächliche Höhe der Prämie ermittelt Zerodium von Fall zu Fall. Sie richtet sich generell nach der Beliebtheit und Komplexität der betroffenen Software und der Qualität des exklusiv eingereichten Exploits.

Zuletzt hatte Zerodium mit einem Preisgeld von einer Millionen Dollar für einen Remote Exploit für iOS 9 für Aufsehen gesorgt, das Anfang November eine nicht näher genannte Hackergruppe eingestrichen hatte. Informationen zu den aufgekauften Schwachstellen macht das Unternehmen generell nicht öffentlich. Stattdessen stellt es sie seinen Kunden zur Verfügung, zu denen laut Wired führende Unternehmen aus dem Verteidigungs-, Technologie und Finanzsektor sowie Regierungsorganisationen zählen.

Gegenüber Wired erklärte Zerodium-Gründer Chaouki Bekrar, der auch hinter dem französischen Sicherheitsspezialisten Vupen steht, dass man die für den Exploit genutzten Schwachstellen nicht sofort an Apple melden werde. Aber vielleicht werde man den iPhone-Hersteller „später“ mit Informationen versorgen, damit dieser Patches für die Lücken bereitstellen kann.

Zero-Day-Exploits für Apple-Geräte sind für manche Unternehmen oder Regierungsbehörden zweifelsohne von hohem Wert. Apple und mit Android 6.0 auch Google sichern ihre Smartphones inzwischen standardmäßig durch Verschlüsselung ab. Daher müssen Ermittlungsbehörden und Geheimdienste auf noch unbekannte Schwachstellen zurückgreifen, um die vorhandenen Sicherheitsvorkehrungen zu umgehen und Geräte zu überwachen. Der Verkauf solcher Lücken dürfte für Zerodium ein lukratives Geschäft sein.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.