Exploit-Preisverfall: Markt wird mit iOS-Sicherheitslücken geflutet, Android ist wertvoller

Wenn auf Software- und Hardware-Sicherheit spezialisierte Unternehmen Hacker fürstlich dafür entlohnen, ihnen bis dato unbekannte Sicherheitslücken zu melden, so tun sie dies natürlich aus eindeutigen Erwägungen heraus. Auch wenn man Hackern hohe Summen für einen Exploit bezahlen muss, so ist der Weiterverkauf dennoch lukrativ. Da es immer schwieriger wird, in vollverschlüsselte Systeme einzubrechen, sind Sicherheitslücken sehr wertvoll. Zahlungen von mehreren Millionen Dollar, um sich Zugang zu geschützten Geräten zu verschaffen, gelten dabei nicht als ungewöhnlich. Während Anfang des Jahres allerdings noch Höchstpreise zu erzielen waren, kam es auf dem Markt zu einem regelrechten Preisverfall.


Noch immer ein Millionengeschäft
Der Begriff "Preisverfall" ist natürlich etwas drastisch gewählt, denn ein kompletter Systemeinbruch in iOS ist immer noch rund zwei Millionen Dollar wert. Allerdings erhält ein Hacker inzwischen mehr Geld, wenn ihm selbiges unter Android glückt – ein Novum auf dem Markt. Gleichzeitig reduzierte Zerodium die Belohnung für reguläre "One click exploits" von 1,5 auf jetzt nur noch 1,0 Millionen Dollar. Erneut lautet die Aussage, Android sei in dieser Disziplin derzeit wertvoller.

Zu viele iOS-Exploits in Umlauf
Der Grund klingt für Apple erst einmal nicht schmeichelhaft. Laut Zerodium kursieren derzeit so viele Exploits für iOS, dass man bereits teilweise die Annahme verweigere und Hackern keine Funde mehr abkaufe. Komplette Systemübernahmen für Android seien, anders als unter iOS, derzeit außergewöhnlich schwierig und zeitaufwändig. Bis Apple nicht die Sicherheit von Safari und iMessage grundlegend verbessere, werde sich daran auch nichts ändern. Man müsse allerdings darauf hinweisen, dass die Vielzahl an iOS-Exploits nicht bedeute, iPhone-Nutzer seien nun angreifbarer als Android-Anwender. Viele der gefundenen Lücken, welche Hacker momentan zu Geld machen wollen, könnten nicht zu erfolgreichen Angriffen führen und seien daher nicht wertvoll.

Kommentare

trigunas10804.09.19 12:33
War da neulich nicht auch ein Artikel beim SPON von einem Hacker der sich ziemlich negativ über die Sicherheit von Mac OS äusserte?
+2
sierkb04.09.19 12:47
Quelle zum MTN-Artikel inkl. Chaouki Bekrars (Zerodium-Gründer und -CEO) Original-Zitat:

ars technica (03.09.2019): Moving Target – A glut of iOS 0-days pushes their price below cost of those for Android
Top price for unpublished Android exploits reaches $2.5 million, a 25% premium over iOS.
0
NX4U204.09.19 13:21
Finde die Einschätzung für Android etwas ungenau. Geht es da um die letzten Systemversionen oder um die installierte Basis, die ja in der Regel nicht gut mit Systemupdates versorgt wird und damit mit bekannten Mitteln und neuen Angriffsvektoren angegangen werden kann.

Der letzte Teil des Artikels ist eigentlich der mit den relevanten Aussagen für Apple-User.
0
el_duderino04.09.19 13:53
NX4U2
Finde die Einschätzung für Android etwas ungenau. Geht es da um die letzten Systemversionen oder um die installierte Basis, die ja in der Regel nicht gut mit Systemupdates versorgt wird und damit mit bekannten Mitteln und neuen Angriffsvektoren angegangen werden kann.

gute frage.

wobei man auch nicht vergessen darf, dass viele billig android-smartphones (das, was der gemeine chinese und der westliche pfennigfuchser halt so in der tasche hat) ja schon ab werk mit vorinstallierten trojanern kommen, siehe , , ,

das versaut natürlich auch die preise.
+2
WollesMac
WollesMac04.09.19 13:55
was muss ich mir denn unter einer Lücke vorstellen, die nicht zu einem erfolgreichen Angriff führt? Warum ist das dann eine Lücke und ist diese nicht eher wertlos?
Viele der gefundenen Lücken, welche Hacker momentan zu Geld machen wollen, könnten nicht zu erfolgreichen Angriffen führen und seien daher nicht wertvoll.
-1
Bananenbieger04.09.19 14:02
WollesMac
was muss ich mir denn unter einer Lücke vorstellen, die nicht zu einem erfolgreichen Angriff führt? Warum ist das dann eine Lücke und ist diese nicht eher wertlos?

Stell es Dir einfach so vor: Durch eine Lücke im Smart-Home-System kann ein Angreifer die Lichter eines Hauses einschalten. Dadurch kommt er aber auch nicht ins Haus.
0
johnnytravels
johnnytravels04.09.19 14:22
Genau umgekehrt zum Lukrativität der App Stores
‚Tim Cook ist kein Produkt-Mensch.‘ — Steve Jobs
0
WollesMac
WollesMac04.09.19 17:03
Danke Bananenbieger. Im Kontext mit dem Artikel hätte ich Dein Beispiel zwar so nicht erwartet, aber ´ne Lücke ist es wohl.

ich lass mir allerdings grade den obigen Satz
Komplette Systemübernahmen für Android seien, anders als unter iOS, derzeit außergewöhnlich schwierig und zeitaufwändig.
auf der Zunge zergehen. Irgendwie ist da was völlig an mir vorbeigegangen.
-1
My2Cent04.09.19 17:43
Bananenbieger
WollesMac
was muss ich mir denn unter einer Lücke vorstellen, die nicht zu einem erfolgreichen Angriff führt? Warum ist das dann eine Lücke und ist diese nicht eher wertlos?

Stell es Dir einfach so vor: Durch eine Lücke im Smart-Home-System kann ein Angreifer die Lichter eines Hauses einschalten. Dadurch kommt er aber auch nicht ins Haus.

Allerdings können in einem Smart-Home auch sensible Dinge integriert sein, z.B. Kameras, oder Rolllade-Steuerungen.

Ein Angreifer beobachtet z.B. auf den Web-Cams, dass alle Bewohner gegangen sind. Dann lässt er den Rolladen der Balkon-Tür hoch fahren und steigt dort ein.
0
ratti05.09.19 10:32
Sorry für das "Ich hab's ja schon immer gesagt", aber das war halt schon immer so: Restriktionen sperren langfristig nicht den Bösewicht aus, sondern den "Admin". Dienste deaktivieren, die man nicht braucht. Apps löschen, die man nicht nutzt, die aber vom Hersteller sind. Logfiles angucken können. Systemdateien prüfen können. Und so weiter. Das wäre eben auch wichtig gewesen, aber die Hersteller erzählen weiter das Märchen vom Wartungsfreien System...

Ich hab' übrigens ein längst aus dem Support gefallenes Lenovo TAB3 Business rumliegen. Gern kann man mir mitteilen, wie man auf dem "verranzten unsupporteten uralt-Android" root-Rechte kriegt. Das gelingt mir nämlich selbst vorsätzlich nicht.
+1
Pixelmeister05.09.19 16:28
Jahrelang wurde erklärt, dass die Vielzahl von Exploits für Windows (und Android) keine Aussage darüber machen würden, wie sicher das System sei, also wie viele schwerwiegende Fehler das OS aufweist. Das sollte man dann jetzt aber auch für iOS gelten lassen.

Es ist doch viel wahrscheinlicher, dass sowas gewissen Trends unterliegt. Jahrelang wurden iOS-Bugs mit Gold aufgewogen und wurden (nicht vom Hersteller, sondern von "Dritten") am Besten bezahlt. Dass sowas Begehrlichkeiten weckt und gewisse Leute dann auch anzieht, sollte klar sein. Und jetzt haben sich anscheinend zu viele Glücksritter auf iOS gestürzt und die Preise für Exploits fallen. Das ist ganz normal und wird sich sicherlich wieder ändern, wenn sich die Preise so weiterentwickeln. Die Bughunter gehen halt dort hin, wo am Besten bezahlt wird.
0
ratti05.09.19 21:17
Pixelmeister
Jahrelang wurde erklärt, dass die Vielzahl von Exploits für Windows (und Android) keine Aussage darüber machen würden, wie sicher das System sei, also wie viele schwerwiegende Fehler das OS aufweist. Das sollte man dann jetzt aber auch für iOS gelten lassen.
Lassen wir auch gern gelten.
Allerdings hat iOS das „Alleinstellungsmerkmal“, dass der Exploit nun mehr Rechte hat als der Besitzer, weil Apple das Teil zugenagelt hat, und das halt auch noch schlecht: Vordertür ist zu, Hintertür ist offen. Exploit kommt drauf, Besitzer nicht.
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen