Neue Rekordsummen für Messenger-Lücken ausgelobt

Der Exploit-Händler Zerodium hat seine Prämienliste für neu gefundene Zero-Day-Lücken aktualisiert. Mit der neuen Liste werden vor allem für Sicherheitslücken in gängigen Messenger-Dienste neue Rekordsummen bezahlt: Je nach Dienst, Güte der Lücke und des dazu präsentierten Exploits können Entdecker bis zu 500.000 Dollar bekommen. Im Mittelpunkt des Prämienprogramms stehen iMessage, Telegram, WhatsApp, Signal, der Facebook Messenger, Viber und WeChat, aber auch an Lücken in SMS-Diensten hat Zerodium Interesse.

Was mit den Erkenntnissen geschieht, ist unklar. Unwahrscheinlich ist, dass sie an die Hersteller gemeldet werden. Wahrscheinlich dagegen, dass sie an staatliche Stellen verkauft werden, die sie dann im Rahmen ihrer geheimdienstlichen Tätigkeit oder zur Terrorabwehr einsetzen. Wenigstens offiziell. Möglich ist auch, dass nicht völlig durchgängig rechtsstaatlich organisierte Staaten sie zur Bespitzelung der Opposition, unliebsamer Personen oder der Bevölkerung generell einsetzen.

Das Interesse von Zerodium und seinen Kunden ist aber nicht ausschließlich auf Messenger-Dienste beschränkt. Auch für besonders weitreichende Lücken in einer breiten Palette an E-Mail-Anwendungen werden jetzt bis zu 500.000 Dollar ausgelobt. Voraussetzung für die Höchstprämie ist, dass der Entdecker gleich einen funktionierenden Exploit mitliefert und der umfassende Möglichkeiten bietet, etwa für die lokale Ausweitung der Rechte oder die Remotecodeausführung.

Bemerkenswert ist, dass die Prämienerhöhung vor allem für Lücken in mobilen Anwendungen gilt. Für andere Sicherheitslücken, etwa in Mediadateien oder Dokumenten, Möglichkeiten, eine Sandbox oder ähnliche Sicherheitsmechanismen zu umgehen, werden immer noch bis zu 150.000 Dollar bezahlt. Das ist mindestens das Zehnfache dessen, was Hersteller in ihren Prämienprogrammen für gemeldete Lücken bezahlen und damit genug, um auch manchen aufrechten Sicherheitsforscher schwach werden zu lassen, der sich bei Adobe, Google, Microsoft und anderen mit einem besseren Taschengeld und der knappen Erwähnung im Security Advisory zufrieden geben müsste. Und bei den meisten der nun anvisierten Anbieter ist unsicher, ob Entdecker einer Lücke überhaupt eine finanzielle Anerkennung bekommen würde.

Bis zu 1,5 Millionen Dollar für Lücken in iOS

Schwachstellen in Apples Betriebssystemen stehen ebenfalls nach wie vor hoch im Kurs. Ein Jailbreak aus der Ferne samt anhaltender Kontrolle über das System ohne das Zutun des Nutzers brächte 1,5 Millionen Dollar. Falls der Nutzer dazu bewegt werden muss, irgendetwas zu tun, etwa auf einen Link oder eine Datei zu klicken, lockt immerhin noch 1 Million Dollar.

Gegenüber Threatpost erklärte Zerodium-Gründer Chaouki Bekrar, die Behördenkunden des Unternehmens benötigten dringend Zero-Day-Exploits die es ihnen erlauben, Kriminelle abzuhören, die sichere Messenger-Anwendungen verwenden. “Der hohe Wert von Zero-Day-Exploits für derartige Apps entsteht durch eine hohe Nachfrage bei Kunden und der geringen Angriffsfläche, die diese Anwendungen bieten, wodurch die Entdeckung und Ausnutzung als kritisch eingestufter Bugs für Sicherheitsforscher sehr kompliziert macht”, so Bekrar.

Möglicherweise reagiert sein Unternehmen, das in einer Grauzone operiert, aber auch nur auf die Entwicklung auf dem echten Schwarzmarkt. Entdecker von Sicherheitslücken konnten Symantec zufolge dort schon Beträge zwischen 50.000 und 100.000 Dollar erzielen. Die Preise dürften seitdem erheblich gestiegen sein. Auch bei den diversen seriösen Hackerwettbewerben haben sich die Preisgelder seitdem erheblich erhöht. Das gilt insbesondere für gefährliche und voraussichtlich über einen längeren Zeitraum ausnutzbare Lücken in weitverbreiteten Produkten.