Zerodium veröffentlicht Preisliste für Zero-Day-Lücken

Der Sicherheitsanbieter Zerodium, der auf den Aufkauf von Sicherheitslücken spezialisiert ist, hat als erster Vertreter seiner Branche seine Preisliste öffentlich gemacht. Sie zeigt, welche Beträge das Unternehmen Sicherheitsforschern für zuvor unveröffentlichte Zero-Day-Lücken in Betriebssystemen, Anwendungen und Geräten bezahlt. Den höchsten Wert haben demnach Fehler, die einen Remote-Jailbreak von iOS-Geräten erlauben.

Seiner Website zufolge kauft das Unternehmen Details zu Zero-Day-Lücken in den Betriebssystemen Windows 7 bis 10 und Mac OS X 10.10 und 10.11 sowie den Linux-Distributionen Ubuntu, CentOS und Tails. Auch Lücken, die es erlauben, Schadcode von einer virtuellen Maschine aus auf dem Host-System auszuführen, stehen auf der Liste. Sie bringen Forschern in der Regel bis zu 30.000 Dollar ein.

Die höchsten Preise zahlt Zerodium für Sicherheitslücken in Mobilbetriebssystemen (Bild: Zerodium).

Schwachstellen in den aktuellen Versionen der Browser Chrome, Firefox, Safari, Internet Explorer, Edge und Tor Browser sind Zerodium ebenfalls bis zu 30.000 Dollar wert. Lässt sich Schadcode sogar außerhalb der Sandbox eines Browsers ausführen, steigt die Prämie im Fall von Safari und Internet Explorer sowie Edge auf 50.000 Dollar, im Fall von Google Chrome sogar auf 80.000 Dollar.

Lukrativ ist es der Preisliste zufolge auch, nach Anfälligkeiten in Adobe Reader und Flash Player zu suchen. Ein Exploit inklusive Sandbox Escape kann hier ebenfalls bis zu 80.000 Dollar einbringen.

Die höchsten Beträge sind jedoch Remote Jailbreaks in den drei großen Mobilplattformen vorbehalten. Für einen solchen Fehler in Android oder Windows Phone erhält ein Forscher bis zu 100.000 Dollar. Steckt er in Apples iOS, steigt die Belohnung auf bis zu 500.000 Dollar.

Prämien zahlt Zerodium allerdings nur für voll funktionsfähige und zuverlässige Exploits, die die Anforderungen des Unternehmens erfüllen. Die tatsächliche Höhe der Prämie ermittelt Zerodium von Fall zu Fall. Sie richtet sich generell nach der Beliebtheit und Komplexität der betroffenen Software und der Qualität des exklusiv eingereichten Exploits.

Zuletzt hatte Zerodium mit einem Preisgeld von einer Millionen Dollar für einen Remote Exploit für iOS 9 für Aufsehen gesorgt, das Anfang November eine nicht näher genannte Hackergruppe eingestrichen hatte. Informationen zu den aufgekauften Schwachstellen macht das Unternehmen generell nicht öffentlich. Stattdessen stellt es sie seinen Kunden zur Verfügung, zu denen laut Wired führende Unternehmen aus dem Verteidigungs-, Technologie und Finanzsektor sowie Regierungsorganisationen zählen.

WEBINAR

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

Gegenüber Wired erklärte Zerodium-Gründer Chaouki Bekrar, der auch hinter dem französischen Sicherheitsspezialisten Vupen steht, dass man die für den Exploit genutzten Schwachstellen nicht sofort an Apple melden werde. Aber vielleicht werde man den iPhone-Hersteller „später“ mit Informationen versorgen, damit dieser Patches für die Lücken bereitstellen kann.

Zero-Day-Exploits für Apple-Geräte sind für manche Unternehmen oder Regierungsbehörden zweifelsohne von hohem Wert. Apple und mit Android 6.0 auch Google sichern ihre Smartphones inzwischen standardmäßig durch Verschlüsselung ab. Daher müssen Ermittlungsbehörden und Geheimdienste auf noch unbekannte Schwachstellen zurückgreifen, um die vorhandenen Sicherheitsvorkehrungen zu umgehen und Geräte zu überwachen. Der Verkauf solcher Lücken dürfte für Zerodium ein lukratives Geschäft sein.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago