Zu viele iOS-Exploits: Zerodium kritisiert iOS-Sicherheit massiv und kauft viele Sicherheitslücken nicht mehr
Erneut hat der Sicherheitsspezialist Zerodium nichts als harsche Kritik an der Sicherheit von iOS übrig. Schon im vergangenen Herbst hieß es, der Markt sei derart mit iOS-Sicherheitslücken aller Arten überflutet, dass man Hackern dafür keine guten Preise mehr bezahlen könne. Jetzt kündigte Zerodium sogar an, für zwei bis drei Monate gar keine Sicherheitslücken aus verschiedenen Kategorien zu kaufen. Ausbruch aus der Sandbox oder Code-Ausführung via Safari sei angesichts der Fülle an Angriffsmöglichkeiten nichts mehr, wofür Zerodium entlohne. Die Preise für One Click Exploits dürften ebenfalls bald stark einbrechen, so die Vorhersage.
Starker Preisverfall beobachtetUm jene Aussagen zu verstehen, muss man das Geschäftsmodell von Anbietern wie Zerodium betrachten. Nicht behobene Sicherheitslücken können finanziell sehr lukrativ sein. Entweder man verkauft die Informationen direkt an Unternehmen, stellt sie Geheimdiensten bzw. Strafverfolgungsbehörden zur Verfügung oder veräußert sie an andere Sicherheitsspezialisten wie beispielsweise Cellebrite, welche daraus wieder Systeme zum Entsperren von Hardware erstellen. Für den Zerodium-CEO sieht die Lage für iOS desolat aus. In einem Tweet wählt er dazu scharfe Worte und äußert die Hoffnung, dass die Dinge mit iOS 14 besser werden.
Android-Lücken wertvollerSeit geraumer Zeit sind Android-Sicherheitslücken auf dem Hackermarkt mehr wert als entsprechende Angriffsvektoren auf iOS. Allerdings muss man dabei auch immer im Auge behalten, welche Auswirkungen die Exploits haben können. Das System komplett zu übernehmen ist Millionen wert, kleinere Bugs ohne weitreichende Folgen spülen weder dem Hacker noch dem Sicherheitsspezialisten viel Geld in die Kassen. Aus diesem Grund ist die Aussage bezüglich der Sicherheit von Android und iOS auch vorsichtig zu betrachten, denn die Menge an Exploits sagt nicht notwendigerweise auch etwas über die Sicherheit des gesamten Systems aus. Entscheidender ist, inwieweit tatsächlich Missbrauch betrieben werden kann – und auch, ob Angriffe auf lohnenswerte Ziele möglich sind.
Apples eigenes HackerprogrammAuch Apple hat ein "Bug Bounty"-Programm um Hacker dafür zu belohnen, Sicherheitslücken frühzeitig zu melden. Seit vergangenem Sommer umfasst dieses auch macOS und Apple zeigt sich zudem deutlich spendabler. Nachdem oft die Kritik zu hören war, Apples Entlohnung liege maßgeblich unter den Preisen auf dem Schwarzmarkt, erhöhte Apple die Vergütung von zuvor maximal 200.000 Dollar auf 1.000.000 Dollar. Im Dezember stieg der Betrag dann sogar auf 1,5 Millionen Dollar, wobei Apple den Betrag verdoppelt, wenn er für wohltätige Zwecke gespendet wird.