Menü
Mac & i

iOS-Bug-Bounty-Programm: Exploit-Händler will mehr zahlen als Apple

Während Apple bis zu 200.000 US-Dollar für schwere Fehler in iOS bietet, gibt's von Exodus Intelligence bis zu 500.000 – ohne Veröffentlichung.

Von
vorlesen Drucken Kommentare lesen 39 Beiträge
iPhone 6S

Das iPhone ist und bleibt ein wichtiges Angriffsziel.

(Bild: dpa, David Moir/Archiv)

Apples neues Bug-Bounty-Programm bekommt Konkurrenz: Der Exploit-Verkäufer Exodus Intelligence bietet für eine ausnutzbare Zero-Day-Lücke in iOS 9.3+ bis zu 500.000 US-Dollar, während Apple für Fehler im Secure-Boot-Mechanismus von iOS nur bis zu 200.000 Dollar zahlen will. Mit "iOS 9.3+" gemeint ist vermutlich iOS 9.3.4 – darin wurde gerade eine Jailbreak-Lücke gefixt.

Exodus Intelligence verkauft die erworbenen Lücken auch an Regierungen und Geheimdienste, veröffentlicht wird ein Zero Day nicht. Bezahlt wird auf Wunsch per Scheck, Überweisung, Western Union oder Bitcoin – Anonymität wird offensichtlich zugesichert. Neben iOS-Bugs wünscht sich Exodus Intelligence auch Zero Days für Google Chrome, Microsoft Edge, Firefox, Windows 10 LPE, Adobe Reader und Adobe Flash. Das Ziel iOS ist aber mit Abstand das teuerste. So bringt ein Chrome-Bug nur 150.000 Dollar, eine Flash-Lücke gar nur 60.000.

Man freue sich darüber, die "weltweite Forschungsgemeinschaft" zu beschäftigen, "um die qualitativ hochwertigsten Informationen zu Lücken" zu sammeln, so der Präsident von Exodus Intelligence in einem Blogeintrag. Die Firma konkurriert unter anderem mit Vupen und anderen Exploit-Händlern. Der Markt wird immer größer, seit etwa Behörden wie das FBI bereit sind, hohe Beträge für Zero Days zu bezahlen.

Apple hatte in der vergangenen Woche ein eigenes Bug-Bounty-Programm angekündigt, bei dem ausgewählte Sicherheitsforscher mitmachen dürfen. Diese erhalten die erwähnten bis zu 200.000 Dollar, wenn sie Lücken an Apple melden, damit das Unternehmen sie schließen kann. Die Idee, viel Geld für iOS-Fehler zu zahlen, ist nicht neu – so hatte das ebenfalls im Exploit-Handel tätige Unternehmen Zerodium im vergangenen Jahr gar eine Million Dollar für einen Remote Jailbreak für iOS geboten. (bsc)