Apples iPhone-Betriebssystem iOS hat in Sicherheitsfragen einen hervorragenden Ruf. Zumindest bislang. Denn in den vergangenen Monaten hat dieses Bild einige Risse bekommen. So ist auch von bekannten Sicherheitsexperten immer wieder die Einschätzung zu hören, dass ein gut gewartetes Android mittlerweile sicherer als iOS sei. Zudem waren zuletzt einige grobe Sicherheitslücken in iOS publik geworden.

Einkaufsstopp

Nun gibt es einen weiteren Hinweis darauf, dass Apple ein wachsendes Sicherheitsproblem bei iOS haben könnte. Die Exploit-Händler von Zerodium haben via Twitter verkündet, dass sie gleich in mehreren Bereichen vorerst keine neuen Exploits mehr zukaufen werden. Konkret spricht man dabei von einer Aussetzung der eigenen Angebote für zwei bis drei Monate. Der Grund dafür ist simpel. Ob für die lokale Rechteausweitung oder auch zum Durchbrechen der Sandbox zwischen den Apps, derzeit habe man für all diese Aufgaben bereits mehr als genug Exploits.

Zerodium hat sich auf den Zukauf solcher "Zero Day" genannten Lücken spezialisiert. Dabei handelt es sich um Bugs, von denen der Hersteller – in dem Fall also Apple – noch nichts weiß, die sich also auch nach dem Einspielen aller aktuellen Updates noch ausnutzen lassen. Diese Exploits werden dann gewinnbringend an andere Interessenten verkauft – darunter etwa Geheimdienste, die dies für Spionagesoftware nutzen.

Reaktion

Schon vor einigen Monaten hatte Zerodium mit dem Hinweis, dass der Markt derzeit mit iOS-Exploits geflutet wird, aufhorchen lassen. Als Konsequenz hatte man die gebotenen Preise gesenkt, womit sie erstmals unter das Niveau von Android-Lücken fielen. Nun kündigt Zerodium an, dass der Preis für eine "One Click Chain" – also eine Exploit-Kette zur einfachen Übernahme eines iPhones – bald weiter sinken werde.

Die Preise können sich dabei übrigens durchaus sehen lassen: Für eine vollständig Übernahme eines Android-Geräts ohne Nutzerinteraktion zahlt Zerodium derzeit 2,5 Millionen US-Dollar. Das selbe bei iOS wird derzeit mit 2 Millionen bewertet. Ein entsprechender Exploit für Windows bringt immer noch eine Million Dollar ein. (apo, 14.05.2020)