Fundstück

So viel kostet es, dein Handy zu hacken

(Foto: The Yooth/Shutterstock)

Um Sicherheitslücken in Smartphones hat sich eine Industrie entwickelt. Unternehmen zahlen Millionen – wenn man es schafft, Whatsapp, iOS oder Android zu knacken. Hier gehts zu den Listenpreisen.

Es gab Zeiten, da musste man sich in den dunkleren Ecken des Internets herumtreiben, wenn man ein paar gute Zero-Days für iPhones kaufen wollte. Zero-Days sind Schwachstellen in Computersystemen, die bisher nur dem bekannt sind, der sie entdeckt hat – die also null Tage alt sind. Und mit deren Hilfe man zum Beispiel dein Handy hacken kann, wenn man will.

Um diese Schwachstellen hat sich eine regelrechte Industrie entwickelt: Es gibt Unternehmen, die andere Unternehmen dafür bezahlen, ihre Systeme auf Schwachstellen zu überprüfen. Große Tech-Konzerne zahlen White Hackern hohe Belohnungen dafür, dass sie sie auf Schwachstellen aufmerksam machen. Und es gibt Unternehmen, die gezielt Informationen über Schwachstellen ankaufen, um sie zum Beispiel an Geheimdienste weiterzuverkaufen.

So ein Unternehmen ist Zerodium. Zerodium bezeichnet sich selbst als führende Schwachstellen-Ankauf-Plattform („Exploit Acquisition Platform“) für Zero-Days. Das Unternehmen von Gründer Chaouki Bekrar ist bisher die einzige Firma, die eine Preisliste für die Zero-Days offen ins Internet gestellt hat.

Welche Schwachstellen angekauft werden

„Wir zahlen hohe Summen an Security-Forscher, um ihre eigene und unbekannte Zero-Day-Forschung zu kaufen“, schreibt Zerodium auf der Website. „Bei Zerodium konzentrieren wir uns auf Hochrisiko-Schwachstellen mit voll funktionsfähigen Wegen, diese auszunutzen, und wir zahlen die höchsten Belohnungen dafür (bis zu 2.000.000 Dollar pro Einreichung).“

Und Zerodium hat gerade die Preise erhöht. Gesucht werden Schwachstellen für die Betriebssysteme Microsoft Windows, Linux und macOS. Für alle großen Browser, für klassische Bürosoftware wie Word oder den Acrobat Reader, für alle wichtigen Handy-Betriebssysteme, für E-Mail-Server, WordPress, WLAN und Router. Kurz: eigentlich für alles, was an IT so massenweise im Umlauf ist, für alle größeren Marken.

Whatsapp-Hack, 500.000 Dollar teurer. Das sind die September-Preise für Zero-Days auf der Website von Zerodium. (Screenshot: t3n)

1 von 4

Aber auch wenn jemand eine nischigere Schwachstelle gefunden hat – kein Problem: „Wenn du Zero-Day-Exploits für andere Produkte oder Systeme hast, die nicht oben aufgelistet sind, schicke gerne ein paar Details und wir reden drüber“, schreibt Zerodium.

Was eine frische Schwachstelle kostet

Wie in einem Periodensystem hat Zerodium auf der Seite auch die Preise für die jeweiligen Schwachstellen aufgelistet. Am teuersten ist eine frische Android-Schwachstelle, bei der das Ziel gehackt werden kann, ohne dafür auch nur einen falschen Klick machen zu müssen – Zero-Klick nennt sich das im Fachjargon. Zerodium ist so ein Zero-Klick Zero-Day für Android bis zu 2,5 Millionen Dollar wert. Ein iOS-Zero-Klick-Zero-Day, mit dem also dein iPhone gehackt werden kann, ohne dass du nur einen falschen Swipe machst, kauft Zerodium für aktuell zwei Millionen Dollar an.

Schwachstellen, die über Whatsapp oder iMessage funktionieren, sind Zerodium hingegen nur 1,5 Millionen Dollar wert.

Desktop Schwachstellen bringen zwar nicht so viel, lohnen sich aber trotzdem: Ein Windows Zero-Day kann immerhin noch für eine Million Dollar verkauft werden. (Screenshot von zerodium.com)

Desktop-Schwachstellen bringen zwar nicht so viel, lohnen sich aber trotzdem: Ein Windows-Zero-Day kann immerhin noch für eine Million Dollar verkauft werden. (Screenshot: Zerodium/t3n)

Auszahlung: Gern auch in Bitcoin oder Monero

Weiter unten auf der Website erklärt Zerodium noch, wie das mit der Auszahlung funktioniert: Alle eingereichten Schwachstellen werden innerhalb einer Woche getestet, und wer keine Dollar mag, kann sich auch in Bitcoin oder Monero bezahlen lassen – einer Krypto-Währung, die nicht nachverfolgbar ist.

Damit keine Fragen aufkommen, erklärt diesen Grafik das noch einmal.

In einer Woche sollen alle eingereichten Schwachstellen geprüft und bewertet werden. Die Auszahlung erklärt diese Grafik. (Screenshot: t3n.de)

Innerhalb einer Woche sollen alle eingereichten Schwachstellen geprüft und bewertet werden. Die Auszahlung erklärt diese Grafik. (Screenshot: Zerodium/t3n)

Hacks als geistiges Eigentum

In den FAQ von Zerodium finden sich noch ein paar spannende Stellen. Zum Beispiel betrachtet Zerodium das Wissen über Schwachstellen als geistiges Eigentum: Wer den Vertrag unterzeichnet, so Zerodium, verkauft seine „Forschung“ und alle dazugehörigen Rechte am geistigen Eigentum an die Firma und darf den jeweiligen Zero-Day nicht mehr an andere verkaufen oder melden. Wie genau allerdings eine Klage gegen einen Hacker aussehen würde, der Zerodium erst eine Anleitung zum Hacken von iPhones verkauft, dafür Monero kassiert und dann Apple auf die Schwachstelle aufmerksam macht, wird leider nicht erklärt.

Was Zerodium mit den Schwachstellen macht

Was genau Zerodium mit den gekauften Schwachstellen macht, verrät das Unternehmen nicht. „Größtenteils“, heißt es in den FAQ, wären Zerodiums Kunden aber Regierungsorganisationen, die „spezielle Cyber-Security-Fähigkeiten oder Schutz Lösungen“ brauchen.

Bemerkenswert ist dabei, dass Zerodium auch schon einen Newsletter per Abo-Modell für Zero-Days anbietet: den Zero-Days Research-Feed.

Mehr zum Thema:

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung