Go to Top

Millionen für die Lücke

Schwachstellen, Sicherheitslücken, Bugs

Schwachstellen, Sicherheitslücken, Bugs: Unsere elektronischen Helferlein sind voll davon. Das ist nicht verwunderlich, denn Programmierer sind auch nur Menschen. Daher wurden in den letzten Jahren von großen Firmen immer wieder Kopfgelder (Bug Bounties) ausgelobt, die diejenigen bekamen, die eine Sicherheitslücke in einem Programm entdeckten und diese dem Unternehmen meldeten. Das funktioniert prächtig, etliche Start-Up-Firmen verdienen damit gutes Geld.

Allerdings sind nicht nur die Unternehmen an der Aufdeckung von Sicherheitslecks und Hintertürchen interessiert. Die Sicherheitsfirma Zerodium hatte im September ein Kopfgeld von einer Million Dollar für eine klar definierte Lücke in Apples mobilem Betriebssystem iOS ausgeschrieben: Der Exploit sollte eine dauerhafte, heimliche Installation einer beliebigen App auf einem aktuellen iOS-9-Gerät erlauben. Und das nur dadurch, dass der Nutzer eine manipulierte Website in den Browsern Safari oder Chrome öffnet oder eine Textnachricht liest. Das Ganze sollte aus der Ferne möglich sein, drüber hinaus unauffällig und zuverlässig funktionieren. Bekannte Schwachstellen durften nicht benutzt werden. Das klare Ziel: Ein Angreifer sollte auf diese Weise die volle Kontrolle über das iOS Gerät erhalten, manipulierte Apps installieren und Daten abgreifen können.

Nun hat es wohl ein Hackerteam geschafft, genau diese Anforderungen zu erfüllen. Nur will Zerodium die Information nicht an Apple weiterleiten. Warum die Firma das nicht (oder noch nicht) will, lässt sich auf der Website nachlesen. Zerodium hat ein paar interessante Kunden: „große Unternehmen aus dem Verteidigungs-, Technik- und Finanzsektor“. Damit sind unter anderem Ermittlungsbehörden und Geheimdienste gemeint.

Es ist bekannt, dass die NSA im Jahr 2013 bis zu 25 Millionen US-Dollar für Zero-Day-Lücken ausgab. Auch der BND war Kunde bei Vupen, der Vorgängerfirma von Zerodium.

Und so werden in naher Zukunft möglicherweise Besitzer neuer Apple-Geräte unbemerkt Besuch von „Big Brother“ bekommen.

Brave new world…

Bildquelle: Tabbo107 / flickr – Lizenz: CC2