2,5 Millionen für ein Zero-Click-Exploit
Viel zu viele iOS-Lücken: Android-Angriffe werden immer wertvoller
Wir können den Aluhut-Trägern das Spinnen verschachtelter Verschwörungstheorien zu den aktuellen Einschätzungen der Fachdienste Zerodium und Crowdfense nicht verübeln.
Dass es ausgerechnet zu einem Zeitpunkt, an dem Google gerade sein neues Mobil-Betriebssystem „Android 10“ vorstellt und wenige Tage zuvor noch ausschweifend über mehrere gravierende iPhone-Schwachstelle referiert hat, jetzt auch noch zu einer plötzlichen Flut an iOS-Angriffswerkzeugen auf dem schwarzen Markt kommen soll, hat zumindest ein „Geschmäckle“.
Doch die Fakten sprechen eine deutliche Sprache: Auf dem Schwarzmarkt für entsprechende Sicherheitslücken wurden die Preise korrigiert.
Während sich zwielichtige Hacker bislang 2 Mio. Dollar für interaktionslose iOS-Angriffe sichern konnten, die eine Geräte-Übernahme aus der Ferne ermöglichten und auf Zerodium nicht mal Preise für äquivalente Android-Angriffe ausmachen konnten, werden für Android-Exploits nun 2,5 Millionen Dollar bezahlt.
Chaouki Bekrar, Chef des Fachdienstes, begründet die neue Kalkulation mit einer Flut von neuentdeckten iOS-Sicherheitslücken und einem immer sicherer werdenden Android-System. Im Gespräch mit dem Technologie-Magazin „ars technica“ erklärt Bekrar:
In den letzten Monaten haben wir einen Anstieg der Zahl der iOS-Exploits beobachtet, vor allem für Safari und iMessage, die von Forschern aus der ganzen Welt entwickelt und verkauft werden. Der Zero-Day-Markt ist so überflutet mit iOS-Exploits, dass wir kürzlich begonnen haben, einige von ihnen abzulehnen.
Andererseits verbessert sich die Android-Sicherheit mit jeder neuen Version des Betriebssystems dank der Sicherheitsteams von Google und Samsung, so dass es sehr schwierig und zeitaufwendig wurde, vollständige Angriffsketten für Android zu entwickeln, und es ist noch schwieriger, Zero-Click-Exploits zu entwickeln, die keine Benutzerinteraktion erfordern. […]