iPhones zu hacken ist derzeit am teuersten, dahinter kommen Google Chrome, Safari, iMessage und Whatsapp.
AP/Jenny Kane

Fünf bis sieben Millionen US-Dollar sind Hacking-Werkzeuge mit der Bezeichnung "Zero Day" wert, wenn man damit beispielsweise iPhones hacken kann. Das verrät eine neue, vor ein paar Tagen veröffentlichte Preisliste des Unternehmens Crowdfense, das sich selbst als "Drehscheibe für Schwachstellenforschung" bezeichnet. Firmen wie Crowdfense besorgen solche Hacking-Tools, um sie dann weiterzuverkaufen, meist an Regierungen oder regierungsnahe Organisationen. Offiziell will man so effektiver auf die Jagd nach Spionen und Kriminellen gehen.

Keine Zeit mehr

"Zero Day" ist ein mittlerweile gängiger Begriff und bezeichnet neu entdeckte Sicherheitslücken, über die Hacker in die Software bestimmter Geräte gelangen. Der Ausdruck "Null Tage" ist deshalb gewählt, weil die Entwickler beim Entdecken eigentlich keine Zeit mehr haben, den Fehler zu beheben, weil er schon von Hackern entdeckt wurde. Natürlich werden solche Lücken dann von Microsoft, Apple oder wer auch immer betroffen ist im Nachhinein geschlossen, die Zeit bis dahin ist allerdings für die Spionage unglaublich wertvoll.

Sogar noch wertvoller, als noch vor ein paar Jahren, wie man dank Crowdfense jetzt weiß. 2019 veröffentlichte das Unternehmen bereits eine ähnliche Liste und damals bezahlte man für "iPhone Zero Days" vergleichsweise wenig, nämlich drei Millionen US-Dollar. Wie "Techcrunch" erklärt, liege das vor allem daran, dass die großen Unternehmen die Sicherheit ihrer Plattformen mittlerweile verbessert hätten und schneller auf Zero-Day-Lücken reagieren können.

"Crowdfense bietet derzeit die höchsten öffentlich bekannten Preise außerhalb Russlands," schreibt "Techcrunch". Im Land von Vladimir Putin gibt es offenbar ein Unternehmen namens Operation Zero welches letztes Jahr ankündigte, bis zu 20 Millionen Dollar für Tools zum Hacken von iPhones und Android-Geräten zu zahlen. Es wird vermutet, dass diese Rekordsummen auch nur deshalb geboten werden, weil aktuell internationale Sanktionen gegen Russland laufen und Geschäfte mit russischen Unternehmen schwieriger und weniger attraktiv geworden sind.

Lukratives Geschäft

Für viel Aufsehen hat erst kürzlich eine "Hintertür" in die aktuelle Version der xz-utils, eine Sammlung freier Archivierungsprogramme, gesorgt. Wie bei vieler solcher Sicherheitslücken war es auch hier möglich von außen Systeme übernehmen zu können. Aufgrund der weltweiten Relevanz dieser Computerinfrastruktur sprachen Experten schon von einer gerade noch abgewandten Sicherheitskatastrophe.

Aufgrund dieses Booms von kommerzieller Spyware hat der US-Konzern Google im Februar diesen Jahres bereits eine staatliche Regulierung diesbezüglich verlangt. In einem aktuellen Bericht spricht Google von 72 Zero-Day-Lücken in Google-Produkten, die in den letzten zehn Jahren aufgedeckt wurden. Von diesen ließen sich wiederum 35 auf die Hersteller kommerzieller Spionagesoftware zurückführen. Anders gesagt: Rund die Hälfte solcher Lücken wurde von solchen Firmen entdeckt und bewusst zurückgehalten, um damit Geld zu verdienen. (red, 7.4.2024)