Neue Rekordsummen für Messenger-Lücken ausgelobt

Der Exploit-Händler Zerodium hat seine Prämienliste für neu gefundene Zero-Day-Lücken aktualisiert. Mit der neuen Liste werden vor allem für Sicherheitslücken in gängigen Messenger-Dienste neue Rekordsummen bezahlt: Je nach Dienst, Güte der Lücke und des dazu präsentierten Exploits können Entdecker bis zu 500.000 Dollar bekommen. Im Mittelpunkt des Prämienprogramms stehen iMessage, Telegram, WhatsApp, Signal, der Facebook Messenger, Viber und WeChat, aber auch an Lücken in SMS-Diensten hat Zerodium Interesse.

Was mit den Erkenntnissen geschieht, ist unklar. Unwahrscheinlich ist, dass sie an die Hersteller gemeldet werden. Wahrscheinlich dagegen, dass sie an staatliche Stellen verkauft werden, die sie dann im Rahmen ihrer geheimdienstlichen Tätigkeit oder zur Terrorabwehr einsetzen. Wenigstens offiziell. Möglich ist auch, dass nicht völlig durchgängig rechtsstaatlich organisierte Staaten sie zur Bespitzelung der Opposition, unliebsamer Personen oder der Bevölkerung generell einsetzen.

Das Interesse von Zerodium und seinen Kunden ist aber nicht ausschließlich auf Messenger-Dienste beschränkt. Auch für besonders weitreichende Lücken in einer breiten Palette an E-Mail-Anwendungen werden jetzt bis zu 500.000 Dollar ausgelobt. Voraussetzung für die Höchstprämie ist, dass der Entdecker gleich einen funktionierenden Exploit mitliefert und der umfassende Möglichkeiten bietet, etwa für die lokale Ausweitung der Rechte oder die Remotecodeausführung.

Dass inzwischen auch WhatsApp über Ende-zu-Ende-Verschlüsselung verfügt macht es Apps, die für sich in Anspruch nehmen, besonders sicher zu sein, nicht leichter. Laut AppTopia war davon Telegram die klare Nummer eins im Markt. Die Anzahl der Downloads sagt allerdings alleine wenig aus. Aussagekräftiger in Bezug auf die tatsächliche Nutzung ist die die Anzahl der Anwender, die mindesten einmal im Monat aktiv sind, der sogenannten MAUs. (Grafik: Statista

Bemerkenswert ist, dass die Prämienerhöhung vor allem für Lücken in mobilen Anwendungen gilt. Für andere Sicherheitslücken, etwa in Mediadateien oder Dokumenten, Möglichkeiten, eine Sandbox oder ähnliche Sicherheitsmechanismen zu umgehen, werden immer noch bis zu 150.000 Dollar bezahlt. Das ist mindestens das Zehnfache dessen, was Hersteller in ihren Prämienprogrammen für gemeldete Lücken bezahlen und damit genug, um auch manchen aufrechten Sicherheitsforscher schwach werden zu lassen, der sich bei Adobe, Google, Microsoft und anderen mit einem besseren Taschengeld und der knappen Erwähnung im Security Advisory zufrieden geben müsste. Und bei den meisten der nun anvisierten Anbieter ist unsicher, ob Entdecker einer Lücke überhaupt eine finanzielle Anerkennung bekommen würde.

Bis zu 1,5 Millionen Dollar für Lücken in iOS

Schwachstellen in Apples Betriebssystemen stehen ebenfalls nach wie vor hoch im Kurs. Ein Jailbreak aus der Ferne samt anhaltender Kontrolle über das System ohne das Zutun des Nutzers brächte 1,5 Millionen Dollar. Falls der Nutzer dazu bewegt werden muss, irgendetwas zu tun, etwa auf einen Link oder eine Datei zu klicken, lockt immerhin noch 1 Million Dollar.

Gegenüber Threatpost erklärte Zerodium-Gründer Chaouki Bekrar, die Behördenkunden des Unternehmens benötigten dringend Zero-Day-Exploits die es ihnen erlauben, Kriminelle abzuhören, die sichere Messenger-Anwendungen verwenden. “Der hohe Wert von Zero-Day-Exploits für derartige Apps entsteht durch eine hohe Nachfrage bei Kunden und der geringen Angriffsfläche, die diese Anwendungen bieten, wodurch die Entdeckung und Ausnutzung als kritisch eingestufter Bugs für Sicherheitsforscher sehr kompliziert macht”, so Bekrar.

Möglicherweise reagiert sein Unternehmen, das in einer Grauzone operiert, aber auch nur auf die Entwicklung auf dem echten Schwarzmarkt. Entdecker von Sicherheitslücken konnten Symantec zufolge dort schon Beträge zwischen 50.000 und 100.000 Dollar erzielen. Die Preise dürften seitdem erheblich gestiegen sein. Auch bei den diversen seriösen Hackerwettbewerben haben sich die Preisgelder seitdem erheblich erhöht. Das gilt insbesondere für gefährliche und voraussichtlich über einen längeren Zeitraum ausnutzbare Lücken in weitverbreiteten Produkten.

Loading ...
Peter Marwan

Peter Marwan ist Chefredakteur von silicon.de und immer auf der Suche nach Möglichkeiten, wie Firmen den rasanten Fortschritt in der IT-Branche in der Praxis nutzen können. Dabei geht es nicht nur darum, Vorhandenes zu optimieren, sondern vor allem auch um Ansätze und Strategien, mit denen sich neue, durch die IT unterstützte Geschäftsmodellle entwickeln lassen.

Recent Posts

Microsoft gibt Windows 10 Version 22H2 für die Allgemeinheit frei

Den Meilenstein erreicht das Update nach rund fünf Wochen. Nutzer erhalten mit Windows 10 Version…

2 Tagen ago

Verschlusssache? Aber sicher!

Für Aufträge einer Bundes- oder Landesbehörde gelten besondere Sicherheitsvorkehrungen. Wer die gesetzlichen Anforderungen nicht erfüllt,…

2 Tagen ago

Industrielle Daten monetarisieren

Herausforderungen der deutschen Industrie bei der Nutzung und wirtschaftlichen Verwertung von industriellen Daten.

2 Tagen ago

Colt und IBM gründen Industrie 4.0-Lab

Labor ermöglicht es Unternehmen im Fertigungssektor, die Vorteile von sicheren Edge-Cloud-Diensten zu nutzen

2 Tagen ago

Digitale Transformation verstärkt Fachkräftemangel

Aufgrund steigender digitaler Anforderungen müssen Unternehmen alternative Personalquellen erschließen.

3 Tagen ago

Vom Betriebswirt zum Web-Programmierer

Die Developer Akademie bildet Quereinsteiger zu IT-Profis weiter und hilft etwas, den hohen Bedarf an…

3 Tagen ago