iPhone-Jailbreak: Preise für Exploits steigen auf bis zu zwei Millionen US-Dollar

Die Preise für Zero-Day-Exploits für iOS und iMessage haben einen neuen Höchststand erreicht. Das auf das Ausnutzen entsprechender Sicherheitslücken spezialisierte Unternehmen Zerodium ist inzwischen dazu bereit, bis zu zwei Millionen US-Dollar für einen iPhone-Jailbreak zu bezahlen.

Bei der millionenschweren Höchstsumme müssen bestimmte Bedingungen erfüllt sein. Zu den Voraussetzungen zählen ein Zero-Click-Jailbreak (kein Klick des Gerätebesitzers erforderlich) und ein Nachweis, dass der Schadcode das iPhone zuverlässig kapert. Sofern eine einzelne Interaktion des Nutzers mit dem jeweiligen Gerät benötigt wird (etwa das Anklicken eines Links), gibt es immerhin noch 1,5 Millionen US-Dollar.


Immer mehr Bedarf für iPhone-Exploits
Zu den Kunden von Zerodium gehören etwa Polizeibehörden und Geheimdienste diverser Länder. In erster Linie geht es darum, an Smartphone-Daten wie Nachrichten oder Standortinformationen von Kriminellen und Terroristen zu gelangen. Allein für das Knacken verschlüsselter Messaging-Apps wie iMessage oder WhatsApp bietet Zerodium bereits eine Million US-Dollar.

Den stetig steigenden Exploit-Preisen liegen mehrere Ursachen zugrunde. Zum einen gibt es einen immer höheren Bedarf für Jailbreaks, und zum anderen wird es dank immer ausgeklügelterer Sicherheitsmechanismen von iOS und Co. zunehmend schwieriger, die Schutzmaßnahmen des jeweiligen Systems zu umgehen.

Der ehemalige NSA-Angestellte Patrick Wardle bestätigt die steigende Preistendenz bei Exploits: „Momentan ist eine gute Zeit für Jailbreak-Entwickler.“ Entsprechend gewinnen Bug-Bounty-Programme für Software-Unternehmen eine immer größere Bedeutung, da sie ihre Systeme oder Anwendungen vor immer ausgefeilteren Exploits schützen müssen, so Wardle.

Kommentare

sierkb10.01.19 16:01
Nicht nur iPhone/iOS betreffend, sondern generell:

Motherboard (07.01.2019): You Can Now Get $1 Million for Hacking WhatsApp and iMessage
Companies that buy and sell exploits, or zero-days, are now willing to offer seven figures for hacks that allow spies and cops to steal WhatsApp, iMessage and other chat app messages.
Motherboard, 07.01.2019
If a government spy or law enforcement agency needs help intercepting the communications of some terrorist or criminal using apps like WhatsApp or iMessage, they'll need to shell out more money than ever.

On Monday, Zerodium, a startup that buys and sells hacking tools and exploits to governments around the world, announced price increases for almost everything they are looking for, such as iOS remote jailbreaks and Windows exploits. It said it will now pay security researchers $1,000,000 for exploits in WhatsApp, iMessage, and SMS/MMS apps for all mobile operating systems.

“Messaging apps in general and WhatsApp in particular are sometimes the only communication channel used by targets and end-to-end encryption makes it difficult for our government customers to intercept such communications,” Zerodium’s founder Chaouki Bekrar told Motherboard in an online chat. “So having the ability to remotely compromise these apps directly without compromising the whole phone is much more strategic and effective.”

Compromising the whole iPhone, sometimes referred to as remote jailbreaking or rooting the phone, can cost $2 million or more, and usually involves a series of bugs and exploits.

The price increase shows that mobile devices in general are getting more and more secure, and thus harder to hack. That means that it’s becoming increasingly hard for hackers to break into iOS and Android devices. That makes the life of folks like spy agencies and police departments harder too. That’s where Zerodium and other similar companies, such as Azimuth and Crowdfense, come in: they act as intermediaries between security researchers and government agencies looking for tools—often called zero-days—to break into targets.

Before today, Zerodium was willing to pay $500,000 for WhatsApp and iMessage exploits, according to an archived version of the company’s site. These new prices are in line with the market, according to Maor Shwartz, who used to run a company that acquired and sold exploits to government agencies.

In an interview in December of last year, Shwartz told Motherboard that exploits for messaging apps such as WhatsApp and Signal, which are end-to-end encrypted and thus make it hard for hackers or spies to intercept messages, can go for $1 million or even up to $4 million depending on the circumstances and how urgently the government needs to hack their target.

“There are some unicorns that companies are willing to buy for a lot of money, more than $1 million dollars for a vulnerability. It’s the [remote code execution] for iMessage, WhatsApp, Signal, Telegram, etc,” Shwartz said. “Once you have this kind of vulnerability it’s worth a lot of money.”

Bekrar warned that despite the increasing difficulty of exploiting and hacking some of the operating systems and apps, they’re seeing more bugs than ever.

“Exploitation is harder, it takes longer, but more researchers are looking into these targets and our goal by increasing our prices is to continue this momentum and encourage researchers to keep hunting for exploits,” Bekrar told me.

“I'm in the zero-day industry since more than 15 years and I've never seen as many exploits as in 2018,” he added. “You can't imagine what's being developed and sold.”


Lorenzo Franceschi-Bicchierai viaTwitter
New: security researchers can now earn $1 million for exploits and zero-days for iMessage and WhatsApp. @Zerodium's Chaouki Bekrar: "I've never seen as many exploits as in 2018. You can't imagine what's being developed and sold.”
Q:
Patrick Wardle via Twitter
Safari Bugs:
Apple's macOS bug bounty: $0.0 / not found
@Zerodium up to: $100,000
🤷‍♂️😳😭
Q:
Stefan Esser via Twitter
Anyway @Zerodium offers 100k for a kernel infoleak that breaks KASLR. @Apple at the same time offers 0k.
Q:
Stefan Esser via Twitter
do i read this correctly that @zerodium pays up to 100k for infoleaks that bypass KASLR?
Q:
-4
MikeMuc10.01.19 16:05
Ob wir je erfahren werden ob diese Summen auch mal ausgezahlt wurden, es also entsprechende erfolgreiche Exploits gab / gibt.
Und ist sowas nicht illegal? Dann könnte Apple solche "Anbieter" vielleicht sogar auf Unterlassung oder vergleichbares verklagen
+1
Marc Perl-Michel10.01.19 16:09
MikeMuc
Ob wir je erfahren werden ob diese Summen auch mal ausgezahlt wurden, es also entsprechende erfolgreiche Exploits gab / gibt.
Und ist sowas nicht illegal? Dann könnte Apple solche "Anbieter" vielleicht sogar auf Unterlassung oder vergleichbares verklagen

Man weiß es nicht, da die Anbieter nach Kaufabschluss einen Unfall hatten.
+1
PaulMuadDib10.01.19 16:14
Und was bedeutet das für die Sicherheit von iOS? Solche Summen suggerieren, dass es offenbar nicht so einfach zu sein scheint
-1
sierkb10.01.19 16:18
Patrick Wardle
"I know of lots of full remote iOS exploit chains... so they are definitely out there," he explained. "And I know of customers that will pay more than $1.5 for those. So I see no reason to doubt that Zerodium both buys and sells (for a profit) such bugs."
Q:
0
PaulMuadDib10.01.19 16:21
Beweis durch Behauptung?
-1
thomas b.
thomas b.10.01.19 17:09
MikeMuc
Ob wir je erfahren werden ob diese Summen auch mal ausgezahlt wurden, es also entsprechende erfolgreiche Exploits gab / gibt.
Und ist sowas nicht illegal? Dann könnte Apple solche "Anbieter" vielleicht sogar auf Unterlassung oder vergleichbares verklagen

Wenn du oder ich das nutzen würden, wäre es hoch kriminell (Einbruch in Computersysteme usw.), wenn der Staat es nutzt, sieht das vermutlich ganz anders aus. Wir dürfen auch keine Steuer-CDs mit gestohlenen Kundendaten kaufen, NRW aber schon. Es kommt wohl auf den Betrachtungswinkel an.
+2
xcess10.01.19 17:31
thomas b.

Ja wenn der Staat was illegales macht wird es automatisch legal ✌🏾😂
Das hab ich mir auch gedacht.

Obwohl... ist es illegal an meinem eigenen Handy rumzufuseln bis ich nen Fehler finde?!
0
sierkb10.01.19 19:44
ars technica, 08.01.2019
[…]
"I think one conclusion is that targets are getting harder to exploit," Patrick Wardle, a former hacker for the National Security Agency and now a cofounder of Digital Security, told Ars. "But also another is that there is now a higher demand for exploits." He continued:
Patrick Wardle
A lot of times, clients/buyers don't want to share exploits—so [it] might be exclusive access. If there are now more buyers, [it] means more demand, means the price will go up. I imagine it's a good time to be a bug hunter/exploit developer. And [it] should continue to be a wakeup call for companies to realize that having a comprehensive bug bounty program is a must.
[…]
Patrick Wardle
"I know of lots of full remote iOS exploit chains... so they are definitely out there," he explained. "And I know of customers that will pay more than $1.5 for those. So I see no reason to doubt that Zerodium both buys and sells (for a profit) such bugs."
Q: ars technica (08.01.2019): Zeroday exploit prices are higher than ever, especially for iOS and messaging apps – As security improves, demand for hacks grows, creating a super-heated market.
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen