Za hacknutie iOS 9 ponúkaný milión dolárov

Značky: iOSbezpečnosť

DSL.sk, 22.9.2015

Nová bezpečnostná spoločnosť Zerodium, ktorá sa špecializuje na získavanie nových zatiaľ neznámych bezpečnostných chýb v softvéri a ich predaj vládam aj súkromným firmám, v pondelok vypísala odmenu až milión dolárov za chyby umožňujúce hacknutie najnovšej verzie operačného systému iOS 9 použitého v iPhonoch a iPadoch.

Zerodium ponúka milión dolárov za exkluzívne informácie o chybách, ktoré umožnia vzdialene preniknúť na iOS 9 zariadenie, získať privilegované oprávnenia a trvalo naň inštalovať ľubovoľnú aplikáciu.

Vektorom útoku musí byť buď zobrazenie stránky v Safari alebo Chrome, zobrazenie stránky otvárajúcej aplikáciu alebo SMS / MMS správa. Okrem otvorenia stránky a prečítania SMS / MMS nemôže byť potrebná žiadna ďalšia súčinnosť užívateľa.

Na odmenu má objaviteľ chyby nárok len ak všetky ním využité zraniteľnosti pre dosiahnutie trvalej infekcie zariadenia a obídenie všetkých ochrán sú nové a zatiaľ neznáme. Jeho exploit musí fungovať spoľahlivo na všetkých iPhonoch od iPhonu 5 a viacerých iPadoch.

Zerodium je podľa oznámenia pripravená vyplatiť viacero odmien, samozrejme za odlišné chyby. Spolu pre odmeny vyhradila 3 milióny dolárov, pričom o odmenu sa je možné uchádzať do 31. októbra.

Hoci vypísaná odmena za informácie o chybe je pomerne vysoká a zrejme slúži aj na zviditeľnenie Zerodium, nie je rádovo vyššia ako ceny za ktoré sa predávali zraniteľnosti koncovým zákazníkov napríklad z radov amerických vládnych agentúr respektíve ich dodávateľov už pred viacerými rokmi. Podľa informácií Forbes z roku 2012 už vtedy stáli exploity pre iOS aj 250 tisíc, podľa informácií The New York Times z 2013 dokonca aj 500 tisíc dolárov.

Za Zerodium stojí Chaouki Bekrar zo spoločnosti Vupen, ktorá dlhodobo predáva vlastné spoločnosťou objavené zraniteľnosti napríklad vládnym agentúram. Zákazníkmi Zerodium sú podľa FAQ "veľké spoločnosti v sektoroch obrany, technológií a financií, ktoré potrebujú rozšírenú ochranu proti 0-day" ale tiež "vládne organizácie, ktoré potrebujú špecifické a na mieru prispôsobené schopnosti v oblasti kyberbezpečnosti".




Najnovšie články:



Diskusia:

ajfoun Od: mojkamaradzkosicrobihiphopcijeho | Pridané: 22.9.2015 10:18 nech to vypisu na android a firma po 31.oktobri skrachuje :D Odpovedať Známka: 0.9 Hodnotiť:

Re: ajfoun Od reg.: Trolitel | Pridané: 22.9.2015 10:38 Myslím si že keby má iOS otvorené zdrojáky tiež by sa tam nachádzali chyby dosť často... Ja som za Android celkom rád. Nech sa nájde čo najviac chýb a potom nech to všetko pekne poopravujú (smutné pre tých ktorým oprava nikdy nepríde) Odpovedať Známka: 7.6 Hodnotiť:

Re: ajfoun Od reg.: cca01 | Pridané: 22.9.2015 10:49 Androidu z tohto hľadiska moc nepomôže, že je open source. Bežný user je odkázaný na milosť Samsungu, LG... atď kým sa uráčia vydať aktualizáciu. A po roku na každý Android fón aj tak každý kašle.. Odpovedať Známka: 8.2 Hodnotiť:

Re: ajfoun Od: jaHruška | Pridané: 22.9.2015 10:52 nemozes ocakavat ze sa firma bude venovat updatom na telefon v hodnote 50-300€...nikdy to tak nebolo a ani asi nebude,aj za cias nokie sa aktualizacie objavovali len na tych najdrahsich kuskoch,len zrieka boli updaty pre starsie/lacnejsie telefony. Kazdopadne vlajkove lode a ich vyrobcovia konecne pochopili ze 2-3 roky stara vlajkova lod je stale dost dobry stroj a zasluhuje updaty,vid HTC One M7 a Samsung S4 ktory dostali updaty na Lolipop. Dufam ze sa tento trend aj udrzi. Odpovedať Známka: 3.0 Hodnotiť:

Re: ajfoun Od reg.: Anton Soukup | Pridané: 22.9.2015 11:38 Nemozem ocakavat, ano mozem chcem a budem ocakavat ... ked to nevydavaju tak im kaslem nech si ten telefon niekam strcia... To je to Kvantita vs. Kvalita. Som rad za Android ze je konkurencia k Applu lebo ho tlaci k veciam ktore by inak nerobil, ale zase uz by mohol konecne priniest veci ako ma apple uz davno a to je konecne poriadny zalohovaci systen kde viem z cloudu zariadenie aj restornut a to doteraz nieje nefunguje ... to ze na googli mi syncne mail kontakty kalendar to nieje zaloha to tam je aj bey toho, a dalej v dnesnej dobe nemat kryptovany telefon asi by som ich zakazal predavat vsetky .... Odpovedať Známka: 4.1 Hodnotiť:

Re: ajfoun Od: WyRMiE | Pridané: 22.9.2015 20:36 to je ich chyba neviem naco kazdy vendor ma vlastny ten launcher a picoviny to ma dost vytacalo. A to ze update nemozes dat na telefon za 300e sak si to stacilo stiahnut z xda s3 podla mna nedostalo nikdy ziadny od Samsungu vzdy iba to co som si nainstaloval a ten telefon isiel milion krat lepsie bez toho bloatwaru co tam davaju v tomto asi najvacsi rozdiel oproti apple iba to vydaju a potom to maju v pici Odpovedať Hodnotiť:

Re: ajfoun Od: ... | Pridané: 23.9.2015 14:12 môžem aj budem. Viď. napr. WP. Telefón s WP 8 išiel upgradovať na 8.1 a teraz majú mať všetky (otázne sú ešte 4GB modely) možnosť prechodu na Win 10... A to sú telefóny za 50€... Odpovedať Hodnotiť:

Re: ajfoun Od: qwertyuiop1 | Pridané: 23.9.2015 18:16 Viac by za to nikto nedal. Odpovedať Hodnotiť:

Re: ajfoun Od: [Jooky] | Pridané: 22.9.2015 11:11 Apple si najdlhsie drzal fon 3 roky, potom je tiez ignorovany a maximalne dostanes update, co ti ho fest spomali. Odpovedať Známka: 3.9 Hodnotiť:

Re: ajfoun Od: zemiak | Pridané: 22.9.2015 11:38 iPhone 4S, vydany 10/2011, posledny update na iOS9 pred cca tyzdnom. 9.x dostane pravdepodobne tiez, ma realnu sancu dostat sa k piatim rokom podpory. Odpovedať Známka: 5.2 Hodnotiť:

Re: ajfoun Od: Tup | Pridané: 22.9.2015 12:40 no keďže dostal iOS 9, celkom isto vieme povedať, že ešte aj v auguste 2016 (pred vydaním iOS10) bude mať najaktuálnejšiu verziu, čo je takmer 5 rokov. 6 rokov ak dostane iOS 10 Odpovedať Známka: 10.0 Hodnotiť:

Re: ajfoun Od: lexus nexus | Pridané: 23.9.2015 2:51 nexus 4, vydany v 09/2012, mam tam najaktualnejsi android, dokonca par tyzdnov dozadu prisla aktualizacia, uz sa sice parkrat tvrdilo, ze pre ne aktualizacia nevyjde, ale kto vie kedy s tym skutocne skoncia... a to bola cena za telefon oproti iphonu polovicna a telefon stale slape Odpovedať Známka: 10.0 Hodnotiť:

Odvazne Od reg.: Trolitel | Pridané: 22.9.2015 10:18 Myslím že z NSA by mohla byť celkom zisková firma... Odpovedať Známka: 8.9 Hodnotiť:

Re: Odvazne Od: sak ja ne? | Pridané: 22.9.2015 10:19 Je rozdiel medzi zraniteľnosťou a backdoorom! :D Odpovedať Známka: 10.0 Hodnotiť:

Re: Odvazne Od: spekulantko | Pridané: 22.9.2015 10:41 tak si najdem nejakeho ineho snowdena a preda mi backdoor za 500 000 a je to. Odpovedať Známka: 3.3 Hodnotiť:

Re: Odvazne Od: jalala | Pridané: 22.9.2015 10:49 Dnesne backdoory niesu v style: /*toto je backdoor MILENA*/ ... kod ... /* koniec backdooru*/, ale vyzeraju ako chyby programatora, pretoze sa jedna o viacero takychto akoze chyb, ktore ale dokopy tvoria vopred predpripraveny zaklad, ktory sluzi na vytvorenie exploitu ktory moze napr. spustit utocnikom zvoleny kod. Potom ked sa taketo zranitelnosti objavia, je velmi tazke dokazat, ci vznikli nahodou nepozornostou programatora, alebo si to objednala napr. NSA a poprosila tvorcu softwaru, aby tymto stylom pridal par akoze chyb do jeho produktu. Odpovedať Známka: 9.2 Hodnotiť:

Re: Odvazne Od reg.: smurf | Pridané: 22.9.2015 10:49 taka firma uz je vola sa CIA - a nie, nieje statna... Odpovedať Známka: -6.0 Hodnotiť:

skaredy ujo Od: quix_ | Pridané: 22.9.2015 10:20 vupen je kontraktor pre americku vladu. pre mna ostava zahadou ako to maju pravne poriesene, ze ponukaju odmenu za nieco co je v rozpore zo zakonom, kedze k objaveniu chyby v takom softveri asi nedojde len tak nahodou ale roznymi technikami, ktore su v rozpore s podmienkami pouzivania softveru tej-ktorej americkej spolocnosti. odmenu ponuka (snad) americka firma. divne divne.. Odpovedať Známka: 8.3 Hodnotiť:

Re: skaredy ujo Od reg.: Trolitel | Pridané: 22.9.2015 10:22 Kde vákone je zakázané reverzne inžinierstvo? Odpovedať Známka: 4.5 Hodnotiť:

Re: skaredy ujo Od reg.: Trolitel | Pridané: 22.9.2015 10:35 Tvárme sa že som napísal "Kde v zákone je zakázané reverzne inžinierstvo?" + dodám.. "maju odmenu za nieco co je v rozpore zo zakonom" a dalej "ktore su v rozpore s podmienkami pouzivania softveru" Podmienky používania nemôžu byť nadradené zákonu takže to že je niečo v podmienkach a ty to porušíš neznamená že je to proti zákonu... Alebo sa snáď kolosálne mílim? Odpovedať Známka: -7.1 Hodnotiť:

Re: skaredy ujo Od reg.: Iguso | Pridané: 22.9.2015 11:38 Ano, mYlis sa. Odpovedať Známka: 10.0 Hodnotiť:

Re: skaredy ujo Od: quix_ | Pridané: 24.9.2015 9:41 Na to ti mozu odpovedat ludia co pred rokmi reverzne dolovali informacie zo samby a prispievali do projektu. Niektori odmietali ist na akcie do statov,pretoze sa obavali zadrzania uz na letisku :D Odpovedať Hodnotiť:

Re: skaredy ujo Od: sak ja ne? | Pridané: 22.9.2015 10:22 Skôr mi to príde ako - tu máte trezor. Ak ho otvoríte platím pivo. Odpovedať Známka: 8.5 Hodnotiť:

Re: skaredy ujo Od: sadasddasdas | Pridané: 22.9.2015 10:32 Ehm, tu mate cudzi trezor. Odpovedať Známka: 8.6 Hodnotiť:

Re: skaredy ujo Od: sak ja ne? | Pridané: 22.9.2015 10:39 Tu máte trezor, ktorý som ja nevyrobil mi príde presnejšie Odpovedať Známka: 8.0 Hodnotiť:

Re: skaredy ujo Od reg.: WinstonSmith | Pridané: 22.9.2015 11:38 Mno, mne príde ešte presnejšie: "Tu máte trezor, ktorý som ja nevyrobil a je v ňom niekoľko desiatok miliónov. Ty to otvor za milión a my to predáme NSA za niekoľko desiatok" Odpovedať Známka: 3.3 Hodnotiť:

Re: skaredy ujo Od: pedro vedro | Pridané: 22.9.2015 13:22 ehm ehm, mne pride najpresnejsie: "Tu mate trezor v ktorom je dalsi trezor. Otvorte len ten vnutrny trezor bez otvorenia vonkajsieho trezoru a dam vam pusu. Potom dam pusu aj ostatnym a poslem milion Janovi. Jano mi da potom pusu a kupi novy trezor". Nemyslite? Odpovedať Známka: -6.0 Hodnotiť:

Re: skaredy ujo Od: Martinnnnnnnn | Pridané: 22.9.2015 13:43 Neviem. Nevedel by si to vysvetlit aj trochu inak? Odpovedať Známka: 10.0 Hodnotiť:

Re: skaredy ujo Od: Duch Svätý | Pridané: 22.9.2015 22:29 Čo? Že ma hľadá Mara, aby som aj jej synovi zariadil nepoškvrnené počatie a mohla sa mu narodiť ona? Odpovedať Hodnotiť:

Re: skaredy ujo Od: kjhkjhkjh | Pridané: 23.9.2015 11:43 Skor mi to pride ako... Tu mate cudzi trezor, ak ho otvorite ukazete mi ako, vsetko co je dnu si necham, ale !! PLATIM PIVO !! Odpovedať Hodnotiť:

To je čo za hlúpa požiadavka? Od: Rudolf Dovičín | Pridané: 22.9.2015 10:56 "Na odmenu má objaviteľ chyby nárok len ak všetky ním využité zraniteľnosti pre dosiahnutie trvalej infekcie zariadenia a obídenie všetkých ochrán sú nové a zatiaľ neznáme." Keď to majú deravé v niečom po starom a v niečom po novom, tak to už nie je zraniteľné, či ako? Odpovedať Známka: 10.0 Hodnotiť:

Velmi tomu neverim Od: rolh | Pridané: 22.9.2015 11:14 Velmi tomu neverim, ako to dokazete a ako si uplatnite narok na odmenu? Povedzme ze najdem chybu kde cez prehliadac alebo sms/mms ziskam kontrolu nad jablkom. Potom uz im viac netreba, zistia si co som poslal, zanalyzuju a mna poslu do p... Odpovedať Známka: 10.0 Hodnotiť:

Re: Velmi tomu neverim Od: Satelitny Ujo | Pridané: 22.9.2015 11:15 alebo rovno odbachnu aby si to nezavesil na net kedze im za to platia sto nasobne viac Odpovedať Známka: 10.0 Hodnotiť:

Re: Velmi tomu neverim Od: syntaxterrorX | Pridané: 22.9.2015 20:56 Pre každú osobu so schopnosťami, postačujúcimi na splnenie uvedenej požiadavky, je vzhľadom k jej znalosti hodnoty obsahu zariadení, používajúcich iOS 9, zrejmá nemožnosť akceptácie požadovaného "produktu" zo strany organizácie Zerodium, spôsobená kontextom formulácie očakávania : "niečo za niečo", jednoznačne vyjadrujúcim nedostatočnú pripravenosť na porozumenie princípu funkčnosti "produktu", podmieňujúcom jeho samotnú existenciu. Odpovedať Známka: -3.3 Hodnotiť:

Keď sa Timovi bude páčiť Od: Adobe200 | Pridané: 23.9.2015 10:02 tak dá Tim ďaľší milión za bonus služby. Ios by som nechcel ani zadarmo. Iphone nemá na Lumie. Tá čínska ihračka nepodporuje ani karty. Zdochne mobil a je všetko preč. Na oblak vešať nič nebudem. Ios je tak bezpečný, že výde hneď jailbreak. Špehoval tam Carrier IQ dávno pred NSA. Už tam špehuje niečo iné. Tim...:) Odpovedať Hodnotiť:

Pridať komentár