Wo programmiert wird, gibt es Schwachstellen, Lücken und Bugs. In den vergangenen Jahren schrieben große Unternehmen wie Google, Yahoo oder Facebook deshalb regelmäßig sogenannte Bug Bounties aus – Kopfgelder für Sicherheitslücken. Unabhängige Entwickler sollten die Software auf Schwachstellen testen und, falls sie welche fanden, melden und dafür eine Belohnung kassieren. Einige Start-ups finanzieren sich mittlerweile auf diese Weise. Doch nicht jede Bug Bounty wird von den Softwareherstellern ins Leben gerufen. Manche kommen von externen Firmen, die gar nicht daran denken, die neuen Schwachstellen öffentlich zu machen.

Eine dieser Firmen ist Zerodium. Im September hat das erst in diesem Jahr gegründete Unternehmen eine Belohnung in Höhe von einer Million US-Dollar ausgelobt für Entwickler, die als erstes eine vorab klar definierte Lücke in Apples neuem mobilen Betriebssystem iOS 9 entdecken. Wie Zerodium am Montag via Twitter verkündete, wurde diese Lücke nun angeblich gefunden. Zwei Teams hatten demnach bis zum Schluss miteinander konkurriert.

Konkret sollten die Angreifer in der Lage sein, eine manipulierte App auf dem iPhone der Nutzer zu installieren. Um das zu tun, müssen sie zunächst das iPhone jailbreaken, also die Nutzungsbeschränkungen und damit auch einige Sicherheitsvorkehrungen deaktivieren. Jailbreaks gab es schon immer, aber Zerodium hatte besondere Anforderungen: Der Angriff musste komplett und automatisch über die mobilen Browser Chrome oder Safari geschehen und "aus der Ferne, zuverlässig und unauffällig" funktionieren. Gleichzeitig durfte er keine bereits bekannten Schwachstellen ausnutzen.

Jailbreak aus dem Browser

"Es gab in der Vergangenheit bereits öffentliche Jailbreaks, die auf ähnlichem Wege iOS-Geräte übernommen haben", sagt der Sicherheitsforscher und iOS-Experte Stefan Esser vom Kölner Unternehmen SektionEins. Seitdem habe Apple die Plattform allerdings um einiges abgehärtet, was die Sache für Angreifer schwieriger und teurer mache. Dennoch hält Esser es für denkbar, dass ein Team mit genug Arbeit, Zeit und Geld nun einen neuen Weg gefunden hat, um iPhones auf diese Weise zu kapern.

Was bedeutet das für die Nutzer? In einem von vielen denkbaren Szenarien könnten sich die Angreifer über einen Link, etwa in einer SMS, Zugang zu den iPhones verschaffen, dort manipulierte Apps installieren und anschließend Daten abgreifen oder das Gerät lahmlegen. "Grundsätzlich könnte jegliches Besuchen einer Seite mit dem entsprechendem Schadcode zur kompletten Übernahme des Telefons führen. Bei unverschlüsselten WLAN-Hotspots könnten Angreifer diesen Schadcode auch transparent in alle unverschlüsselten HTTP-Anfragen injizieren", sagt Esser.

Das erinnert vom Potenzial her an Stagefright, der großen Lücke, von der Android-Geräte in diesem Sommer betroffen waren. Mit einem Unterschied: Während der Entdecker von Stagefright die Schwachstelle vorab an Google meldete und das Unternehmen sie schnell schließen konnte, behält Zerodium die Kenntnis für sich. Und mehr noch, die Firma verkauft das Wissen weiter.

Das lukrative Geschäft mit Schwachstellen

Zerodium gehört nämlich zu den Unternehmen, die nicht bloß Kopfgelder auf neue Schwachstellen ausschreiben, sondern diese anschließend auch wieder gewinnverbringend verkaufen. Das Geschäft mit den sogenannten Zero-Days, mit Sicherheitslücken, die zuvor noch nicht bekannt waren und gegen die es deshalb noch keinen Schutz gibt, ist lukrativ. Manche können 50.000 bis 100.000 US-Dollar einbringen, einige, wie die mutmaßliche iOS-Lücke, vermutlich einiges mehr. Denn als je sicherer das System gemeinhin gilt, desto gefragter sind Zero-Days, was ihren Preis entsprechend in die Höhe treibt. Die Belohnung von einer Million US-Dollar könnte Zerodium also möglicherweise schnell wieder reinholen.

Chaouki Bekrar, Gründer von Zerodium, hat Wired bereits bestätigt, dass er die technischen Details der iOS-Lücke seinen Kunden anbieten wird. Bekrar ist in der Zero-Day-Szene ein bekannter Name, als einer der wenigen spricht er vergleichsweise offen über das Geschäft. Mit seinem früheren Unternehmen Vupen hatte er mehrere Lücken aufgespürt und sie anschließend weiterverkauft. 2012 hieß es in einem Bericht von Forbes, dass Vupen mit Strafverfolgungsbehörden, Regierungen und Geheimdiensten von Nato-Partnern zusammenarbeite. Auf der Website von Zerodium ist von "großen Unternehmen aus dem Verteidigungs-, Technik- und Finanzsektor" die Rede. Aber eben auch von Regierungen, die "maßgeschneiderte Lösungen im Bereich der Cybersecurity" suchen.