Der Handel mit Sicherheitslücken entwickelt sich zu einem sehr lukrativen Markt. So soll beispielsweise ein US-amerikanisches Unternehmen für eine ungepatchte Lücke in Apples iOS-Betriebssystem 250.000 US-Dollar bezahlt haben. Wie das
Magazin Forbes berichtet, vermittelt ein Hacker mit dem Spitznamen „the Grugq“ seit etwa einem Jahr zwischen Entdeckern von Lücken und US-Regierungskreisen. Dafür erhält er jeweils eine Provision von 15 Prozent.
Auf dem Schwarzmarkt werden iOS-Schwachstellen inzwischen am teuersten gehandelt. Sicherheitslücken im Internet-Browser Chrome sind bis zu 200.000 US-Dollar wert. Firefox- und Safari-Lücken kosten bis zu 150.000 US-Dollar und Windows-Lücken bis zu 120.000 US-Dollar. Für ungepatchte Zero-Day-Lücken in Microsoft Word, Flash und Java, Android, Mac OS X und Adobe Reader liegen die Preise zwischen 5000 und 30.000 US-Dollar.
Angesichts dessen, dass meist nur verhältnismäßig geringe Bug-Prämien gezahlt werden, sieht „the Grugq“ die Schuld für den boomenden Schwarzmarkt bei den Software-Herstellern. Für eine kritische Lücke in Chrome gab es vor kurzem beispielsweise nur etwa 3000 US-Dollar. Wenn die Hersteller ein Interesse an der Schließung ihrer Lücken hätten, würden sie dafür auch marktübliche Preise bezahlen.