Am Wochenende haben sich unbekannte Hacker das sagenhafte Preisgeld von 1 Million US-Dollar in einer besonderen Hacking-Challenge gesichert. Das gab zumindest der Schöpfer der Challenge, Chaouki Bekrar, bekannt. Er gilt als einer der größten Händler mit solchen hochwertigen, bisher unbekannten Sicherheitslücken, sogenannten Zero-Day-Exploits.
Bekrar, der bereits Hacks an Kunden wie die NSA verkauft hat, hatte den Wettbewerb mit seinem neuen Start-up Zerodium ausgelobt, das im Premium-Segment des Exploit-Schattenmarktes unterwegs ist, in dem neu entdeckte Sicherheitslücken und Hintertüren schonmal siebenstellige Beträge wert sein können.
Videos by VICE
„Wenn du an die richtigen Leute weiterverkaufst”, ist der Exploit noch sehr viel mehr wert.
Die Aufgabe der Challenge war extrem anspruchsvoll: Auf einem neuen iPhone oder iPad mit der neuesten iOS-Version (in diesem Falle iOS 9.1. bzw. 9.2b) sollte aus der Ferne ein Jailbreak durchgeführt werden. Damit wäre es dem Angreifer möglich, mit vollen Administratorrechten jede App auf dem Gerät zu platzieren. Der ursprüngliche Exploit durfte laut den Regeln der Challenge nur durch Safari, Chrome oder eine Text- bzw. Multimedia-Nachricht durchgeführt werden.
Der oder die Hacker mussten also nicht nur eine Hintertür, sondern eine Reihe von Zero-Day-Exploits finden, wie der Sicherheitsforscher Patrick Wardle, der für die Firma Synack arbeitet, Motherboard gegenüber ausführte. So hatten die chinesischen White-Hat-Hacker von Pangu bereits vor einer Woche eine Möglichkeit zum Jailbreaken des neuen iPhones gefunden—aber ihre Methode funktionierte nicht aus der Ferne.
Um einen Jailbreak aus der Ferne auszuführen, sind mindestens zwei oder drei weitere Exploits nötig.
Noch Mitte Oktober erklärte Bekrar gegenüber Motherboard, dass es noch niemandem gelungen sei, sich das Preisgeld zu sichern, obwohl sich zwei Teams, die unabhängig voneinander an der Challenge arbeiteten, bei Zerodium gemeldet hatten. Beide Teams scheiterten jedoch laut Bekrear an derselben Hürde und kamen nicht weiter.
„Um einen Jailbreak ferngesteuert via Safari oder Chrome ausführen zu können, sind mindestens zwei oder drei weitere Exploits mehr als bei einem lokalen Jailbreak nötig”, erläuterte mir Bekrar damals in einer Twitter-Direktnachricht.
Schließlich hat jedoch eines der unbekannten Teams einen Weg zum Sieg gefunden. Bekrar hat auf meine neuesten Rückfragen bisher nicht reagiert.
Sollte es den Hackern tatsächlich gelungen sein, die Aufgaben der Challenge vollständig zu lösen, dann wäre das eine beachtliche Leistung. Seit über einem Jahr, seit iOS 7, hat niemand (zumindest soweit öffentlich bekannt) auf einem iPhone aus der Ferne einen Jailbreak durchführen können.
In den vergangenen Jahren haben viele Tech-Unternehmen wie Facebook und Google ihre eigenen Belohnungsprogramme gestartet, in denen Hacker Bugs finden sollen und diese nur an das Unternehmen verraten, das die Sicherheitslücken dann schließt. Inzwischen gibt es auch Vermittlungsunternehmen wie HackerOne und Bugcrowd, die als Bug-Jäger-Plattformen Hacker und Käufer zusammenbringen. Apple selbst bietet allerdings bisher kein solches Exploit-Jäger-Programm an.
Zerodium, wie auch Bekrars Vorgängerunternehmen Vupen, haben allerdings ein etwas anderes Geschäftsmodell als diese White-Hat Exploit-Jäger. Zerodium bietet höhere Belohnungen als die meisten Tech-Unternehmen zahlen, behält dafür alle Informationen über die Sicherheitslücke für sich und verrät sie nur bestimmten staatlichen Kunden wie der NSA.
Bekrar erklärte, weder bekannt geben zu wollen, welches Team den Preis gewonnen habe noch Details zu den entdeckten Zero-Day-Exploits zu veröffentlichen. Er wollte auch nicht sagen, für wie viel er die Exploits verkaufen würde.
Es besteht allerdings kein Zweifel, dass die nun gefundenen Sicherheitslücken für mancheinen extrem wertvoll sind. Geheimdienste wie NSA oder CIA haben so ihre liebe Mühe, sich in iPhones von Zielpersonen zu hacken, und das FBI beschwert sich bereits seit einigen Monaten öffentlich über Apples neueste Verschlüsselungsmaßnahmen. Der jüngste Exploit würde es Geheimdiensten erlauben, jegliche Sicherheitsarchitektur von Apples Geräten zu umgehen, und Telefonate, Nachrichten und auf dem Telefon gespeicherte Daten auszuspionieren.
Eine Quelle, die in der Vergangenheit für die NSA tätig war, erklärte Motherboard bereits vor einigen Wochen, dass das Preisgeld in Höhe von einer Million Dollar für Zerodium tatsächlich einen recht guten Deal darstellen könnte. „Wenn du an die richtigen Leute verkaufst”, ließen sich für einen solch hochwertigen Exploit deutlich höhere Summen erzielen, so die Quelle.
Apple hat eine Anfrage von Motherboard bisher unbeantwortet gelassen.
Experten zeigten sich nicht weiter überrascht davon, dass es Hackern gelungen sei, sich den Preis zu sichern. Der unabhängige Sicherheitsforscher Jonathan Zdziarski ist allerdings skeptisch, dass Zerodium das Preisgeld auch tatsächlich auszahlen werde: „Dass ein Exploit gefunden wurde, ist nicht unbedingt schockierend […]. Sollte das Preisgeld aber wirklich ausgezahlt werden, dann wäre das eine Überraschung”, erklärte Zdziarski, der seit Jahren an Apple-Gadgets forscht, gegenüber Motherboard.
Bekrar erklärte, dass Zerodium noch immer die Sicherheitslücke teste, um sicherzustellen, dass die Reihe der Exploits „die Kriterien der Challenge vollständig erfülle.”
Apple werde vermutlich „einige Wochen oder Monate” brauchen, um die Sicherheitslücke zu schließen, erklärte Bekrar weiterhin. Kunden von Zerodium hätten jetzt die Chance, mehr über die Sicherheit von iOS herauszufinden und „bessere Entscheidungen in Sachen mobiler Sicherheit (iOS vs. Android) zu treffen und sich besser zu schützen.”
„Diese Challenge ist eine der besten Werbungen, die Apple haben kann, da sie beweist, dass die hohe Sicherheit von iOS nicht nur Marketing ist”, erklärte Bekrar. „Kein Betriebssystem außer iOS rechtfertigt ein so hohes Preisgeld.”