Sicherheitslücke in iOS für 250.000 US-Dollar verkauft

Von Apfelattack @Apfelattack

Der Handel mit ungepatchten Sicherheitslücken (Zero-Day) boomt: Laut einem Bericht des Magazins Forbes hat ein US-amerikanisches Unternehmen, das unter anderem mit der US-Regierung zusammenarbeitet, vor kurzem 250.000 US-Dollar für eine Lücke in Apples iOS-Betriebssystem gezahlt.

Eingefädelt hat den Deal ein Hacker mit dem Pseudonym "the Grugq", der sich laut dem Bericht seit rund einem Jahr als Vermittler zwischen den Entdeckern von Schwachstellen und Regierungskreisen betätigt. Im Fall einer erfolgreichen Vermittlung streicht er 15 Prozent Provision ein; er will dieses Jahr insgesamt rund eine Million US-Dollar mit seinen Geschäften verdienen.

iOS-Schwachstellen stehen an der Spitze der Preisliste, die Forbes nach Recherchen in der Sicherheitsszene zusammengestellt hat. Demnach bringen Lücken in Chrome oder Internet Explorer noch bis zu 200.000 US-Dollar, Schwachstellen in Firefox und Safari werden mit zu zu 150.000 US-Dollar gehandelt und Windows-Lücken mit bis zu 120.000 US-Dollar. Darauf folgen Microsoft Word, Flash und Java, Android sowie Mac OS X. Zero-Day-Lücken im Adobe Reader bringen laut der Tabelle gerade noch 5000 bis 30.000 US-Dollar ein.

Dagegen scheinen die Bug-Prämien der Hersteller eher einen symbolischen Charakter zu haben: Google zahlt für eine kritische Chrome-Lücke etwa gerade mal 3133,70 US-Dollar. Eine Summe, die weit unter den maximal 200.000 US-Dollar liegt, die Kunden von the Grugq zahlen.

Für the Grugq ist die Tatsache, dass Lücken aufgrund der extremen Vergütungsunterschiede in vielen Fällen nicht direkt an die Hersteller gemeldet werden, kein Problem: "Wenn sie (die Hersteller) wollen, dass ihre Lücken geschlossen werden, können sie auch marktübliche Preise zahlen – wie jeder andere auch.".

Die schwindelerregenden Summern dürften so manchen Sicherheitsforscher in ein moralisches Dilemma bringen. Dies kritisiert auch der Sicherheitsexperte Charlie Miller gegenüber Apfelattack: "Sollten die Bug-Finder[...] die nur mit viel Zeitaufwand entdeckte Lücke verschenken, zum Wohle aller? Oder erliegen sie der Versuchung, die Information für Zehntausende von Dollar an Schwarzmarktkäufer oder gar an Regierungen für 100.000 US-Dollar zu verkaufen? [...] Mir wäre es jedenfalls lieber, wenn die Sicherheit im Internet nicht davon abhängt, dass ein 17-Jähriger in Weißrussland die moralisch korrekte Entscheidung trifft".