Millionen ausnutzen

    Gestern erschienen im

    Bild

    Internet Informationen darüber, dass unabhängige Software-Exploit-Händler eine Belohnung von 1 Million US-Dollar an jemanden vergeben hatten, der Informationen über die Zero-Day-Working-Schwachstelle in iOS 9 bereitstellte. Eine Belohnung für Sicherheitsexperten und Hacker, die 0day- finden konnten. Sicherheitslücke, kündigte Zerodium Startup diesen Montag an.

    Zerodium zahlt jedem Spezialisten oder Team eine Million US-Dollar ( 1.000.000,00 USD ), die uns exklusive Informationen zu browserbasierten oder nicht gebundenen Jailbreak-Schwachstellen in Apples neuestem Betriebssystem iOS 9 zur Verfügung stellen.

    Das Angebot gilt bis zum 31. Oktober 2015, 18:00 Uhr Eastern Time. Das Programm kann vorzeitig geschlossen werden, wenn die Höhe der Zahlungen das ihm zugewiesene Budget von 3.000.000,00 USD in den USA überschreitet .

    Technologie-Giganten wie Google oder Facebook bieten seit langem großzügige Belohnungen für diejenigen, die Fehler und Schwachstellen in ihren Produkten melden. Diese Liste enthält auch Microsoft, das kürzlich das Bug Bounty-Programm durchgeführt hat , um in seinem neuen EDGE-Browser (damals Spartan) nach Schwachstellen zu suchen.

    Gleichzeitig übt Apple nicht die Durchführung von Bug Bounty-Programmen aus und gibt zeitweise nur den Benutzer oder die Gruppe von Benutzern an, die das „Loch“ in ihrem offiziellen Text des Patch-Laptops für iOS gefunden haben, dessen Patch dieselben Lücken schließt. Dies wurde beispielsweise mit iOS 7.1 durchgeführt, wo das Unternehmen die Hackergruppe evad3rs als den Benutzer angab , der den Fehler entdeckt hat. Die Ironie der Situation ist, dass evad3rs einen iOS-Jailbreak erstellt, einschließlich des von iOS 7.0, der später auf iOS 7.1 gepatcht wurde.

    Bild

    Es gibt aber auch einen Nachteil auf dem Markt, auf dem mittelständische Unternehmen wie Zerodium Informationen über Schwachstellen in Software kaufen, um diese später für mehr Geld auf dem sogenannten „grauen Markt“, beispielsweise Geheimdiensten, weiterzuverkaufen. Gemäß den von Zeroduim festgelegten Anforderungen sollte der Exploit es einem Angreifer ermöglichen, beliebige Software remote auf Geräten mit iOS 9 zu installieren, dh auf dem neuen iPhone 6s und iPad. Darüber hinaus muss der Angriff über Safari, Chrome, Text- oder Multimedia-Nachrichten, Bluetooth und NFC erfolgen. Der Exploit sollte iOS 9-Sicherheitsmechanismen wie sichere Bootchain, Rootless, ASLR, Sandboxing und Codesignatur umgehen.

    „Ehh! Trotzdem hat jemand festgestellt, wie viel ein Einhorn kostet “, sagte Pedro Vilaça, ein Spezialist für Informationssicherheit, der auch Sicherheitsstudien zu Apple-Betriebssystemen durchführte.

    Apple repariert ständig Sicherheitslücken für seine Geräte, um zu verhindern, dass Benutzer aus dem „Käfig“ ihres Ökosystems herauskommen und Raubkopien von Software installieren. Sie können 2007 als Ausgangspunkt nehmen, wenn nach der Veröffentlichung der neuen Firmware 1.1.1 für das iPhone die von ihren Besitzern entsperrten Geräte buchstäblich zu Bausteinen wurden. Hacker haben Tausenden von iPhone-Besitzern geholfen, auf Firmware 1.0.2 zurückzugreifen, ihre kürbisähnlichen iBricks wiederzubeleben und sicher auf Version 1.1.1 zu aktualisieren.

    Seitdem hat Apple die Schleife mehr als einmal „verschärft“ und Löcher in seinen Betriebssystemen gepatcht, sodass Benutzer nicht am Anwendungsspeicher vorbeikommen und etwas „kostenlos“ verwenden konnten. Separate Paranoia verdient das Projekt jailbreakme.com, dessen Adresse irgendwann in Wi-Fi-Netzwerken und in Apple Stores blockiert wurde.

    Das aktuelle Zerodium-Angebot kann als das großzügigste in der Geschichte bezeichnet werden. Das letzte Mal, dass „graue“ Exploit-Verkäufer bereits 2013 einen vergleichbaren Betrag (500.000,00 USD) und auch eine unbekannte Sicherheitslücke in einer der iOS-Versionen anboten.

    Jetzt auch beliebt: