Das Geschäft scheint zu brummen: Das im russischen St. Petersburg ansässige Unternehmen Operation Zero hat über X (ehemals Twitter) angekündigt, seine Prämien für Top-Tier Mobile Exploits in Android und iOS deutlich zu erhöhen. Für entsprechende Zero-Day-Lücken erhalten Lieferanten zwischen 200'000 und 20 Millionen Dollar. Grund für den Aufschlag sei die hohe Nachfrage am Markt. Auf der Website sind hingegen noch Prämien von bis zu 2,5 Millionen Dollar aufgeführt. Zudem betont Operation Zero im X Post , dass die End User des Unternehmens ausschliesslich "Nicht-Nato-Länder" seien. Auf seiner Website wird der Händler laut einem Bericht von "Techcrunch" noch konkreter: Demnach handelt es sich bei den Kunden um russische Privat- und Regierungsorganisationen."Die Preisbildung für bestimmte Produkte hängt stark von der Verfügbarkeit des Produkts auf dem Zero-Day-Markt ab", zitiert "Techcrunch" Operation Zero-CEO Sergey Zelenyuk. "Full-Chain-Exploits für Mobiltelefone sind derzeit die teuersten Produkte und werden hauptsächlich von staatlichen Akteuren verwendet. Wenn ein Akteur ein Produkt benötigt, ist er manchmal bereit, so viel wie möglich zu zahlen, um es zu besitzen, bevor es in die Hände anderer Parteien gelangt."

Zwar gibt es bereits zahlreiche andere Unternehmen, die für entsprechende Sicherheitslücken Prämien zahlen. Im Gegensatz zu traditionellen Bug-Bounty-Plattformen wie Hacker One oder Bugcrowd alarmieren Unternehmen wie Operation Zero aber nicht die betroffenen Hersteller, sondern verkaufen die Exploits direkt an Regierungskunden, erklärt der "Techcrunch"-Bericht.Dabei konzentriert sich Operation Zero ausschliesslich auf Exploits für unbekannte Schwachstellen, die noch nirgends gemeldet wurden. Nicht-exklusive Verkäufe sind laut Angaben des Unternehmens auf der Plattform nicht erlaubt. An Exploit-Ketten und Umgehungen von Sicherheitsmassnahmen (DEP, ASLR, PAC, CFG, CET, etc.) sei man hingegen interessiert.Wie hoch der Preis für die Zero Days tatsächlich ausfällt, wird letztlich zwischen dem Anbieter und den Plattform-Betreibern ausgehandelt. Die Prämie hängt dabei von Faktoren wie Zuverlässigkeit, Versionsveränderung und Ausführungszeit ab. (sta)