Ein Sicherheitsunternehmen namens Zerodium bot im vergangenen Jahr bereits eine Million Dollar, wenn es einem Angreifer gelingt, in iOS 9 einzubrechen. Für iOS 10 wurde die Belohnung noch einmal erhöht und liegt jetzt bei 1,5 Millionen Dollar. Auf einer Matrix des Unternehmens ist abzulesen, mit welchen Hacks welche Geldzahlungen zu erreichen sind. Übernimmt ein Angreifer die Kontrolle über Android, so sind noch 200.000 Dollar in Reichweite, für Windows Phone lobt Zerodium bis zu 100.000 Dollar aus. Einbrüche in verbreitete CMS (Content Management Systeme) wie WordPress, Drupal oder Joomla bringen immerhin noch bis zu 10.000 Dollar ein.


Wie mit den Lücken Geld verdient wird
Wer sich nun die Frage stellt, wie das Geschäftsmodell von Zerodium aussieht und wie der Anbieter die genannten Summen aufbringen kann: Zerodium verkauft die gewonnenen Erkenntnisse an Regierungen und andere Unternehmen. Diese wiederum können damit dann tun und lassen was sie wollen. Laut Zerodium habe man ausreichend viel Kapital, um gleich mehrere Hacks von iOS 10 direkt zu vergüten. Zumindest ein Hacker hatte vor wenigen Tagen bereits verkündet, erfolgreich ins System eingedrungen zu sein. Auch Apple rief kürzlich einen Wettbewerb aus und wollte Hacker für erfolgreiche Angriffe samt Dokumentation belohnen - allerdings bot Apple nur einen Bruchteil der Summen, die Zerodium auszahlt.


Meldung an Apple vs. Meldung an private Anbieter
Wer gefundene Schwachstellen an Zerodium verkauft und nicht an Apple meldet, kann damit natürlich sehr viel mehr Geld verdienen - sofern man von Apple überhaupt eine Zahlung gesehen hätte, denn das "Bug Bounty Programm" bezog sich nur auf ausgewählte Partner. Allerdings nutzt Apple die Informationen, um Schwachstellen möglichst rasch zu beseitigen und die Systemsicherheit zu verbessern. Bei privaten Anbietern sieht es hingegen ganz anders aus. Das Hauptziel in diesem Fall lautet, die Lücken tatsächlich auch auszunutzen und Hersteller eben nicht zu informieren, in welchen Bereichen sie nachbessern müssen.