2,5 Millionen für ein Zero-Click-Exploit
Viel zu viele iOS-Lücken: Android-Angriffe werden immer wertvoller
Wir können den Aluhut-Trägern das Spinnen verschachtelter Verschwörungstheorien zu den aktuellen Einschätzungen der Fachdienste Zerodium und Crowdfense nicht verübeln.
Dass es ausgerechnet zu einem Zeitpunkt, an dem Google gerade sein neues Mobil-Betriebssystem „Android 10“ vorstellt und wenige Tage zuvor noch ausschweifend über mehrere gravierende iPhone-Schwachstelle referiert hat, jetzt auch noch zu einer plötzlichen Flut an iOS-Angriffswerkzeugen auf dem schwarzen Markt kommen soll, hat zumindest ein „Geschmäckle“.
Doch die Fakten sprechen eine deutliche Sprache: Auf dem Schwarzmarkt für entsprechende Sicherheitslücken wurden die Preise korrigiert.
Während sich zwielichtige Hacker bislang 2 Mio. Dollar für interaktionslose iOS-Angriffe sichern konnten, die eine Geräte-Übernahme aus der Ferne ermöglichten und auf Zerodium nicht mal Preise für äquivalente Android-Angriffe ausmachen konnten, werden für Android-Exploits nun 2,5 Millionen Dollar bezahlt.
Chaouki Bekrar, Chef des Fachdienstes, begründet die neue Kalkulation mit einer Flut von neuentdeckten iOS-Sicherheitslücken und einem immer sicherer werdenden Android-System. Im Gespräch mit dem Technologie-Magazin „ars technica“ erklärt Bekrar:
In den letzten Monaten haben wir einen Anstieg der Zahl der iOS-Exploits beobachtet, vor allem für Safari und iMessage, die von Forschern aus der ganzen Welt entwickelt und verkauft werden. Der Zero-Day-Markt ist so überflutet mit iOS-Exploits, dass wir kürzlich begonnen haben, einige von ihnen abzulehnen.
Andererseits verbessert sich die Android-Sicherheit mit jeder neuen Version des Betriebssystems dank der Sicherheitsteams von Google und Samsung, so dass es sehr schwierig und zeitaufwendig wurde, vollständige Angriffsketten für Android zu entwickeln, und es ist noch schwieriger, Zero-Click-Exploits zu entwickeln, die keine Benutzerinteraktion erfordern. […]
Da muss wohl mal wieder jemand aus der Jailbreak Community eingestellt werden, der dabei hilft die ganzen Lücken zu schließen …
Dafür komme jetzt ja Dev-Kits.
Oh, wie schön wäre es, Kommentare bearbeiten zu können.
Hättest wohl gerne xD
Oder Pushnachrichten bei antworten…aber was fordere ich auch…wir leben im 21. Jahrhundert und Internet ist gerade Neuland hier…
+1
Die Jailbreak-Szene wurde auch wieder viel zu lange von Apple ignoriert, Apple würde sich gut daran tun, einige Asse einzustellen, kann nie schaden.
2,5 $ für ein Android Exploit is ja recht günstig:-)
Ich denke da fehlen ein paar Nullen :-)
Oh ja natürlich, die Million hängt wieder hinten dran. Danke Dir (und allen anderen Hinweisgebern diesbezüglich.)
ob nun 2 oder 2,5 Mio. In diese Aussagen eine größere Angriffchance gegen iOS ggü. Android reinzuinterprieren, kann man machen, muss man aber sicher nicht.
Der Markt potenzieller Ziele ist mit Android einfach viel größer als mit iOS – das hat nichts mit dem Sicherheitsfaktor zu tun, das lohnt sich einfach mehr!
Vielleicht liegt es ja (auch) an der viel größeren Nutzerzahl von Android.
Die war schonimmer 80:20
Nein war sie nicht.
Lediglich in Europa stimmt diese Zahl ungefähr.
In den USA ist es fast umgekehrt.
Keine Ahnung wie es auf der restlichen Welt aussieht.
Android angriffe werden immer teurer, weil die Zahl der Potentiellen Opfer um ein vielfaches größer ist!
Das iOS aber momentan schwächelt sieht man nicht zuletzt an der Browser-Lücke, die 2 Jahre! ignoriert blieb… finde ich für den selbsternannten Datenschutz Konzern ziemlich schwach… zumal die Jungs von Google die Sicherheitslücke öffentlich gemacht haben…
Datenschutz hat ja erstmal nichts mit Exploits zu tun. Wir Deutschen kennen da nur das Wort „Sicherheit“. Ausnahmsweise unterscheidet die englische Sprache das mal besser:
– Security
– Safety
Die deutsche Sprache kennt „Schutz“ und „Sicherheit“. Oder worauf willst du hinaus?
Vielleicht könnte das Hacker-Problem (Viren) effektiv(er) dadurch angegangen werden, daß:
a) Hacker konsequent(er) strafrechtlich verfolgt würden, und
b) ebenso konsequent, wie knallhart bestraft würden – wie wär’s z. B. mit 10 Jahren ohne Bewährung? … … …
Dann bring mal China, Iran, Saudi arabien für 10 Jahre ins Gefängnis. Manche können sogar öffentlich Menschen töten und in Stücke sägen, ohne das das Konsequenzen hat.
Es würde in Deinem Beispiel vielleicht schon reichen, derartige Länder umfassende Sanktionskataloge zu unterziehen. Ohne Moos nix los, gerade, wenn die Verkäufe einbrechen, Denner. Nicht, daß ich Trump-Anhänger wäre …
Einem marktwirtschaftlichen Mechanismus (Angebot und Nachfrage) sollte man keine politische oder andere Bedeutung zu kommen lassen.
Man kann über die Angebots und Nachfragesituation spekulieren:
Liegt es an der Menge der exploits, oder daran das in 4 Wochen iOS 13 rauskommt und meine Investition dann wertlos wird?
Korrekt! Zumal ja auch davon gesprochen wird, dass Android mir JEDER Version sicherer wird. Android 10 ist aber nich nicht draußen. Im Verhältnis gibt es aber eine Menge veralteter A Versionen. Bei ios bleiben die Preise aber eher stabil, da auf 80% das neuste OS installiert ist.
Android 10 wird seit gestern verteilt. Zumindest auf die Pixel/Android One Devices…
Coole sachen, denn Android hat soviel Lücken, da wird man ja ruck zuck Millionär xD
Na da kennt sich ja jemand aus. Wenn dem so ist, dann bitte konkrete Beispiele.
Ich glaube das Google Project Zero macht ne verdammt gute Arbeit und ich kann mir durchaus vorstellen das sie wenn sie ein Lücke in Android gefunden haben diese auch Art verwandt bei IOS testen ob da was geht.
Es zeigt mir nur das man nicht immer alles aktivieren sollte was geht und Aluhut hin oder her ich schalte Wlan/BT/Ortungsdienste den Zugriff auf Kamera/Micro und co nur ein wenn ich sie brauche.