Letzte Woche hat Apple ein Programm gestartet, um iOS-Sicherheitslücken zu finden (wir berichteten). Für bestätigte Verwundbarkeiten will man bis zu 200.000 Dollar zahlen. Wie The Verge jetzt schreibt, bietet eine private Sicherheitsfirma nun bis zu 500.000 Dollar für eine aktive Sicherheitslücke in iOS 9.3 und darüber.
Es ist demnach nicht ungewöhnlich, dass private Firmen höhere Beträge für Sicherheitslücken zahlen, als die großen Technikkonzerne. Hier geht es nicht nur um die mögliche Verwendung als Jailbreak-Tool. Das scheint sogar eher nebensächlich zu sein. Aktive Sicherheitslücken, die nicht öffentlich bekannt werden, haben durchaus einen hohen Wert. Sie könnten zum Ausspionieren der Geräte genutzt, oder bei Bedarf teuer verkauft werden.
Exodus Intelligence zahlt nicht nur für iOS Exploits (auch wenn es hier die höchsten Beträge gibt), sondern zum Beispiel auch für Google, Windows, Adobe-Reader und Flash. Alle diese Lücken landen in Datenbanken des Unternehmens und zum Beispiel Hersteller von Antiviren-Software können den Zugriff darauf abonnieren. Das Geschäftsmodell scheint gut zu funktionieren.
Wer als freier Hacker Sicherheitslücken liefert, kann mit einmaligen Zahlungen rechnen, aber auch regelmäßige Geldflüsse sind drin. Das hängt von der Langlebigkeit des jeweiligen Exploits ab. Exodus warnt seine Kunden auch, sollte eine neue Sicherheitslücke bekannt und aktiv ausgenutzt werden.