Quelle: cnn.comAuf der Welt gibt es viele Unternehmen, die im Bereich der Informationssicherheit tätig sind, aber wie in die entgegengesetzte Richtung. Solche Organisationen kaufen Informationen über Hacking-Methoden für bekannte und nicht sehr Dienste und Anwendungen und kaufen auch Exploits.
Eine solche Organisation, Zerodium, hat eine Belohnung von 1 Million US-Dollar für ihre WhatsApp- und iMessage-Cracking-Tools
angekündigt . Ein ähnlicher Betrag wird an diejenigen gezahlt, die Exploits bereitstellen, die den Zugriff auf SMS / MMS-Anwendungen mobiler Betriebssysteme ermöglichen.
Und das alles in einem absolut legalen Rechtsbereich. Die Organisation arbeitet im Interesse staatlicher Dienste auf der ganzen Welt. "Messaging-Anwendungen, einschließlich WhatsApp, fungieren manchmal als Kommunikationskanal für Angreifer, und die Verschlüsselung erschwert es Sicherheitsdiensten, die erforderlichen Daten abzurufen", sagte Zerodium-Gründer Chauki Bekrar. Er glaubt, dass die Möglichkeit, Fernzugriff auf verschiedene Anwendungen dieser Art zu erhalten, den Geheimdiensten hilft, effizienter zu arbeiten.
Es ist erwähnenswert, dass die Kompromittierung des iPhone eines Angreifers den Staat 2 Millionen Dollar oder mehr kosten könnte.
Ein so hoher Preis ist ein Indikator dafür, dass Geräte wirklich besser geschützt werden. Sie sind selbst von hochklassigen Spezialisten schwerer zu knacken, und dies gilt sowohl für iOS als auch für Android. Das Leben von Sonderdiensten ist kompliziert, denn selbst wenn das Telefon in die Hände der Polizei oder des Geheimdienstes fiel, ist es bei weitem nicht immer möglich, Informationen daraus zu extrahieren.
Bis heute war Zerodium bereit, eine halbe Million US-Dollar für das Hacken von WhatsApp und iMessage zu zahlen. Jetzt ist der Preis der Emission höher geworden, anscheinend sind die staatlichen Sonderdienste bereit, mehr für die „Lösung der Emission“ zu zahlen.
1 Million Dollar ist nicht die Grenze. Die Regierungen sind bereit, mehr zu zahlen. Dies hängt alles von der Dringlichkeit der zu erledigenden Aufgabe und dem Umfang der zu erledigenden Arbeit ab. Natürlich wird niemand Informationen mit den betreffenden Messenger-Unternehmen teilen. Dies ist nicht der Fall. Sicherheitslücken werden gekauft, um unabhängig verwendet zu werden, wobei geheime Informationen über die Möglichkeit von Hacking aufbewahrt werden.
Dank der großen Belohnung können Hacking-Boten eher mit ganzen Spezialistenteams als mit Einzelgängern wie zuvor umgehen. Der Leiter des Startups Zerodium sagt, dass es in der Zero-Day-Branche mittlerweile so viele „Produkte“ gibt wie nie zuvor. "Man kann sich nicht einmal vorstellen, was auf diesem Markt entwickelt und verkauft wird", sagt Bekrar.
Es ist erwähnenswert, dass die Belohnung von Zerodium viel höher ist als die "Preise" der Kopfgeldprogramme vieler Organisationen. Entwickler, die eine bestimmte Sicherheitsanfälligkeit festgestellt haben, haben es daher nicht eilig, Informationen über ihren Fund an die Entwickler kompromittierter Software weiterzugeben. Infolgedessen entstehen lustige Situationen. Zum Beispiel hat Apple ein Belohnungsprogramm für Schwachstellen gestartet, die bereits 2016 gefunden wurden. Es ist jedoch noch unklar, ob jemand eine Belohnung erhalten hat. Im Jahr 2017
gab es keine solchen Personen .
Und wer möchte solche Daten teilen, wenn Zerodium 2 Millionen US-Dollar für einen Remote-iOS-Jailbreak zahlt? Dies ist zehnmal mehr als bei Apple - im Rahmen des Kopfgeldprogramms kann das Unternehmen nicht mehr als 200.000 US-Dollar zahlen, und die Zahlung erfolgt möglicherweise überhaupt nicht, wenn Cupertino-Spezialisten etwas nicht mögen. Noch vor wenigen Monaten war Zerodium bereit, 500.000 US-Dollar weniger als jetzt zu zahlen - anscheinend steigen die Bedürfnisse von Startup-Kunden. Und nicht nur Schwachstellen für iOS werden teurer. Für den Chrome RCE + LPE-Exploit beträgt der Auszahlungsbetrag 500.000 US-Dollar. Dies ist weniger als beim Empfang von Tools zum Hacken von iOS, aber der Betrag ist immer noch sehr hoch.
Kunden des Startups waren zuvor Regierungseinheiten wie die Equation Group (FiveEyes, Tilded Team) und Animal Farm (Snowglobe). Das Unternehmen wird von Fachleuten für Informationssicherheit kontaktiert, die mehr als nur von Unternehmen erhalten möchten, deren Produkte gehackt wurden, und die nicht einige Monate warten möchten (Überprüfung von Informationen über das Hacken in Apple, Facebook, Microsoft usw.). Bei Zerodium wird das Geld innerhalb einer Woche nach Beginn der Überprüfung der Daten über das vom Cracker vorgeschlagene Tool ausgezahlt.