1,5 Millionen US-Dollar bezahlt das IT-Security-Unternehmen Zerodium für einen Zero-Day-Exploit unter iOS 10. Dabei handelt es sich um eine Schwachstelle, die dem Entwickler noch nicht bekannt ist – und auf die er somit erst reagieren müsste. Diese werden von Zerodium anschließend an zahlungswillige Regierungen oder Unternehmen verkauft. Für einen iOS-9-Exploit bezahlte Zerodium anfangs noch eine Million US-Dollar. Wie der Gründer des Unternehmens gegenüber Ars Technica angibt, liegt die höhere Belohnung an der gesteigerten Sicherheit des neuen Betriebssystems.
“Die Preise sind direkt mit der Schwierigkeit, eine Kette an Exploits zu entdecken, gekoppelt”, so Zerodioum-Gründer Chouki Bekrar. Dies sei auch mit ein Grund, warum Zero-Day-Exploits von Android zu wesentlich geringeren Preisen gehandelt werden. Für das aktuelle Android 7, das derzeit nur auf wenigen Geräten zum Einsatz kommt, gibt es von Zerodium etwa eine Belohnung von 200.000 US-Dollar. Aber auch Android wird immer sicherer – bisher bot Zerodium noch 100.000 US-Dollar. “Wir wissen, dass iOS 10 und Android 7 beide viel schwerer zu knacken sind als bisherige Versionen”, so Bekrar.
Die hohen Unterschiede in der Belohnung für Exploits unter iOS und Android liegen aber nicht nur in der unterschiedlichen Sicherheit begründet, auch die Nachfrage spielt eine wichtige Rolle. Übrigens: Apple bietet für das Melden von Sicherheitslücken auch selbst eine Belohnung an. Diese beläuft sich jedoch auf maximal 200.000 US-Dollar. Google bietet ebenfalls ein solches Bug-Bounty-Program für Android und zahlt dort bis zu 58.000 US-Dollar.
Via Ars Technica