Hacken wordt steeds moeilijker. Om vandaag de dag een iPhone op afstand te besturen, heb je een hele rits verschillende exploits nodig die zijn ontwikkeld door onderzoeksteams die zich elk in een ander onderdeel van het OS specialiseren.

Crowdfense, een bedrijf dat zich heeft gevestigd in Dubai, koopt exploits van onderzoekers en hackers en verkoopt ze weer door aan overheden. Dit maakt het iets gemakkelijker voor individuele hackers en onderzoekers om exploits te verkopen.

Vorige week presenteerde het bedrijf haar zogenoemde Vulnerability Research Platform, waar mensen losse exploits kunnen aanmelden – dit in plaats van een hele exploit-rits waarmee je ook daadwerkelijk een OS kunt hacken. Crowdfense creëert zo in feite een verdienmodel voor het indienen van exploits, en een overzichtelijk platform om crowdsourced exploits te kopen en verkopen.

“We dealen met onderzoekers die nog niet deelnemen aan de markt,” zei Andrea Zapparoli Manzoni, CEO van Crowdfense, donderdag op een jaarlijkse Black Hat-hackersconferentie tegen Motherboard.

Overheden gebruiken exploits en zero-day exploits – dat is software die gebruikmaakt van kwetsbaarheden die niet bekend zijn bij de ontwikkelaars van de software – met als doel malware te installeren op een apparaat. Misschien wil een inlichtingendienst iets installeren op een iPhone waarmee het berichten kan onderscheppen voordat ze versleuteld zijn, of waarmee het de microfoon kan aanzetten.

Onderzoekers ontwikkelen deze exploits en kunnen ze verkopen aan bedrijven zoals Crowdfense, die ze op hun beurt weer doorverkoopt aan overheden. Crowdfense is niet het enige bedrijf dat dit doet. Hun grootste concurrent is waarschijnlijk Zerodium. Op hun website adverteren ze met hun bedrijfsmodel en schijnen ze ook stukjes van een exploit-reeks te kopen; niet genoeg om in een klap een iPhone mee te hacken, maar wel een belangrijk onderdeel.

Dit maakt het makkelijker voor individuen om deel te nemen aan deze markt, zonder dat ze hele onderzoeksteams achter zich hebben.

Op het platform van Crowdfense kunnen mensen een account aanmaken, en op een vrij traditionele manier de exploits beschrijven en aanmelden. Via het portaal is het mogelijk om berichten met end-to-end-encryptie te versturen, en kunnen onderzoekers de status van hun aanmelding volgen. Ze kunnen alleen hun eigen exploits zien, dus niemand kan elkaars werk stelen.

Een screenshot van het Vulnerability Research Platform van Crowdfense. Beeld: Crowdfense

Zapparoli zei dat Crowdfense al een golf aanmeldingen heeft ontvangen van een lager niveau. Ongeveer 5 tot 10 procent van de ingediende exploits is ook echt van topkwaliteit. Elke aanmelding wordt handmatig door het bedrijf gecontroleerd. Onderzoekers kunnen ook anoniem exploits aanmelden. “Wij spreken een verborgen groep onderzoekers aan,” zegt Zapparoli.

