Derzeit boomt der Handel mit unentdeckten Sicherheitslücken. Für ein entsprechendes Fundstück unter iOS zahlte nun ein regierungsnahes Unternehmen 250.000 US-Dollar. Die moralische Verantwortung der Entdecker wird somit auf eine harte Probe gestellt.
Dass der Smartphone-Markt wächst, ist schon längst kein Geheimnis mehr. Immer mehr Menschen entscheiden sich beim Kauf eines neuen Telefons für die mobilen Alleskönner. Im Zuge dessen, sinken die Verkaufszahlen von herkömmlichen Computern, da die mobilen Betriebssysteme immer mehr Funktionen übernehmen, die früher nur der PC abdecken konnte. Mit diesen wachsenden Marktanteilen wird allerdings auch die Plattform für Kriminelle zunehmend interessanter. Da sie, wenn sie mal eine Sicherheitslücke entdeckt haben, diese auf einer Vielzahl von Geräten umsetzen können und somit zahlreiche potentielle Opfer haben. So gesehen scheint der veröffentlichte Forbes Bericht, der von einem echten Geschäft mit Sicherheitslücken schildert, wenig verwunderlich.
Laut Forbes soll eine Lücke in Apples mobilen Betriebssystem demzufolge 250.000 US-Dollar wert sein. Dass es sich hierbei nicht um reine Spekulation handelt, beweist ein US-amerikanisches Unternehmen, welches eng mit der Regierung zusammenarbeiten soll und wohl genau diese Summe für eine noch nicht gepatchte Lücke in iOS bezahlt habe. Als Vermittler bei solchen Transaktionen gilt ein Hacker der sich „the Grugq“ nennt und als Brücke zwischen Entdecker und Regierungskreisen fungiert. Ein scheinbar lukratives Geschäft, da er wohl pro Vermittlung 15% Provision einstreicht.
Obwohl Android derzeit noch weiter verbreitet ist als iOS, steht letzteres mit 250.000 US-Dollar an der Spitze der von Forbes bereitgestellten Tabelle. Wer hingegen eine Lücke in den Interntbrowsern Chrome oder Internetexplorer findet, erhält hingegen „nur“ 200.000 Dollar. Schwachstellen in Firefox oder Safari werden mit 150.000 Dollar vergütet.
Diese Summen stehen allerdings in keinerlei Verhältnis mit den Belohnungen, die die jeweiligen Hersteller beim Fund einer Lücke anbieten. So zahlt beispielsweise Google für eine kritische Lücke in Chrome gerade mal 3133,70 US-Dollar. Eine solche Entwicklung ist durchaus kritisch zu sehen, da der Umgang mit derartigen Exploits eher zu einer moralischen Frage wird. So müssen sich die Entdecker beispielsweise die Frage stellen, ob sie ihren Fund für teures Geld verkaufen, oder doch lieber der Allgemeinheit zur Verfügung stellen und somit zur allumfassenden Verbesserung der Sicherheit im Internet beitragen.
Betrachtet man iOS seperat, scheint noch eine dritte Dimension interessant zu werden, da solche Exploits häufig der Startschuss für einen Jailbreak sind.
Bildquelle
??? Ein regierungsnahes Unternehmen kauft eine Sicherheitslücke und rückt sich damit in die Nähe von Kriminellen ???
Was ist das denn wieder für ein schwachsinniger Bericht?
Ich würde ihn erst verkaufen und dann dem dev Team geben
geht glaub ich nicht,da musste wohl unterschreiben das du den nicht weiter gibs oder ausnutzt wenn du dafür geld bekommst
Da kann man nur die Hacker wie Stefan Esser loben, dass sie die Exploits der Szene zur Verfügung stellen als sich mit der Entdeckung zu bereichern.
Schön und gut, aber euer Artikel bleibt einige Antworten schuldig. Die Frage ist, wieso kauft diese Firma die Sicherheitslücken und was macht sie damit? Was für eine Firma ist das genau? Gut recherchiert und erklärt ist der Artikel nicht. Er wirft mehr Fragen als Antworten auf.
Lieber Erik,
du hast natürlich Recht. Das sind wirklich interessante Fragen, jedoch haben solche Firmen einen großes Interesse daran anonym zu bleiben, von ihren Handlungsabsichten mal ganz abgesehen. Ihre Bemühungen reichen soweit, dass selbst das renommierte Forbes-Magazin (http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret-software-exploits/) keine Antworten zu diesen Fragen liefern kann.
Mein Artikel sollte einzig und allein dem Zweck dienen, über die Tatsache zu informieren, dass ein solcher Markt existent ist und Hacker, die einen Exploit finden, sich die Frage stellen müssen, wie sie mit ihm umgehen.
Lieber Ralf,
danke für deine Antwort. Dass die Firmen anonym bleiben wollen, kann ich natürlich verstehen. Ich finde es auch gut, dass in Artikeln wie diesen darauf hingewiesen wird, dass so ein Markt existiert.
Allerdings wird das ganze erst interessant, wenn man die Absichten, die dahinter stecken, versteht. Wenn mir jemand erzählt, dass einer im tiefsten Jungle faule Bananen an Bananenstauden sucht und für die Entdeckung von einer anonymen Firma dafür 300.000 Peso bekommt, sagt das noch nicht viel aus. Wenn ich aber weiß, dass die Regierung die Informationen der Firma abkauft, weil sie dadurch die Bananenfirmen kontrollieren kann, dann macht das ganze wieder einen Sinn. Ansonsten bleibt es nur bei ein paar harten Fakten, gestützt von den dazugehörenden Zahlen.