neprihlásený Sobota, 23. novembra 2024, dnes má meniny Klement
Za hacknutie iOS 9 ponúkaný milión dolárov

Značky: iOSbezpečnosť

DSL.sk, 22.9.2015


Nová bezpečnostná spoločnosť Zerodium, ktorá sa špecializuje na získavanie nových zatiaľ neznámych bezpečnostných chýb v softvéri a ich predaj vládam aj súkromným firmám, v pondelok vypísala odmenu až milión dolárov za chyby umožňujúce hacknutie najnovšej verzie operačného systému iOS 9 použitého v iPhonoch a iPadoch.

Zerodium ponúka milión dolárov za exkluzívne informácie o chybách, ktoré umožnia vzdialene preniknúť na iOS 9 zariadenie, získať privilegované oprávnenia a trvalo naň inštalovať ľubovoľnú aplikáciu.

Vektorom útoku musí byť buď zobrazenie stránky v Safari alebo Chrome, zobrazenie stránky otvárajúcej aplikáciu alebo SMS / MMS správa. Okrem otvorenia stránky a prečítania SMS / MMS nemôže byť potrebná žiadna ďalšia súčinnosť užívateľa.

Na odmenu má objaviteľ chyby nárok len ak všetky ním využité zraniteľnosti pre dosiahnutie trvalej infekcie zariadenia a obídenie všetkých ochrán sú nové a zatiaľ neznáme. Jeho exploit musí fungovať spoľahlivo na všetkých iPhonoch od iPhonu 5 a viacerých iPadoch.

Zerodium je podľa oznámenia pripravená vyplatiť viacero odmien, samozrejme za odlišné chyby. Spolu pre odmeny vyhradila 3 milióny dolárov, pričom o odmenu sa je možné uchádzať do 31. októbra.

Hoci vypísaná odmena za informácie o chybe je pomerne vysoká a zrejme slúži aj na zviditeľnenie Zerodium, nie je rádovo vyššia ako ceny za ktoré sa predávali zraniteľnosti koncovým zákazníkov napríklad z radov amerických vládnych agentúr respektíve ich dodávateľov už pred viacerými rokmi. Podľa informácií Forbes z roku 2012 už vtedy stáli exploity pre iOS aj 250 tisíc, podľa informácií The New York Times z 2013 dokonca aj 500 tisíc dolárov.

Za Zerodium stojí Chaouki Bekrar zo spoločnosti Vupen, ktorá dlhodobo predáva vlastné spoločnosťou objavené zraniteľnosti napríklad vládnym agentúram. Zákazníkmi Zerodium sú podľa FAQ "veľké spoločnosti v sektoroch obrany, technológií a financií, ktoré potrebujú rozšírenú ochranu proti 0-day" ale tiež "vládne organizácie, ktoré potrebujú špecifické a na mieru prispôsobené schopnosti v oblasti kyberbezpečnosti".


      Zdieľaj na Twitteri



Najnovšie články:

Protimonopolný úrad začal prešetrovať, prečo v SR nie sú skutoční virtuálni mobilní operátori
Nový trailer filmu Minecraft
Linux v ďalšej verzii vyradí súborový systém Reiser
Odštartovaná výroba flash pamäte s 321 vrstvami
Apple má prvýkrát použiť vlastný 5G modem v iPhone v marci


inzercia



Diskusia:
                               
 

nech to vypisu na android a firma po 31.oktobri skrachuje :D
Odpovedať Známka: 0.9 Hodnotiť:
 

Myslím si že keby má iOS otvorené zdrojáky tiež by sa tam nachádzali chyby dosť často...
Ja som za Android celkom rád. Nech sa nájde čo najviac chýb a potom nech to všetko pekne poopravujú (smutné pre tých ktorým oprava nikdy nepríde)
Odpovedať Známka: 7.6 Hodnotiť:
 

Androidu z tohto hľadiska moc nepomôže, že je open source. Bežný user je odkázaný na milosť Samsungu, LG... atď kým sa uráčia vydať aktualizáciu. A po roku na každý Android fón aj tak každý kašle..
Odpovedať Známka: 8.2 Hodnotiť:
 

nemozes ocakavat ze sa firma bude venovat updatom na telefon v hodnote 50-300€...nikdy to tak nebolo a ani asi nebude,aj za cias nokie sa aktualizacie objavovali len na tych najdrahsich kuskoch,len zrieka boli updaty pre starsie/lacnejsie telefony. Kazdopadne vlajkove lode a ich vyrobcovia konecne pochopili ze 2-3 roky stara vlajkova lod je stale dost dobry stroj a zasluhuje updaty,vid HTC One M7 a Samsung S4 ktory dostali updaty na Lolipop. Dufam ze sa tento trend aj udrzi.
Odpovedať Známka: 3.0 Hodnotiť:
 

Nemozem ocakavat, ano mozem chcem a budem ocakavat ... ked to nevydavaju tak im kaslem nech si ten telefon niekam strcia... To je to Kvantita vs. Kvalita.
Som rad za Android ze je konkurencia k Applu lebo ho tlaci k veciam ktore by inak nerobil, ale zase uz by mohol konecne priniest veci ako ma apple uz davno a to je konecne poriadny zalohovaci systen kde viem z cloudu zariadenie aj restornut a to doteraz nieje nefunguje ... to ze na googli mi syncne mail kontakty kalendar to nieje zaloha to tam je aj bey toho, a dalej v dnesnej dobe nemat kryptovany telefon asi by som ich zakazal predavat vsetky ....
Odpovedať Známka: 4.1 Hodnotiť:
 

to je ich chyba neviem naco kazdy vendor ma vlastny ten launcher a picoviny to ma dost vytacalo.

A to ze update nemozes dat na telefon za 300e sak si to stacilo stiahnut z xda s3 podla mna nedostalo nikdy ziadny od Samsungu vzdy iba to co som si nainstaloval a ten telefon isiel milion krat lepsie bez toho bloatwaru co tam davaju v tomto asi najvacsi rozdiel oproti apple iba to vydaju a potom to maju v pici
Odpovedať Hodnotiť:
 

môžem aj budem. Viď. napr. WP. Telefón s WP 8 išiel upgradovať na 8.1 a teraz majú mať všetky (otázne sú ešte 4GB modely) možnosť prechodu na Win 10... A to sú telefóny za 50€...
Odpovedať Hodnotiť:
 

Viac by za to nikto nedal.
Odpovedať Hodnotiť:
 

Apple si najdlhsie drzal fon 3 roky, potom je tiez ignorovany a maximalne dostanes update, co ti ho fest spomali.
Odpovedať Známka: 3.9 Hodnotiť:
 

iPhone 4S, vydany 10/2011, posledny update na iOS9 pred cca tyzdnom. 9.x dostane pravdepodobne tiez, ma realnu sancu dostat sa k piatim rokom podpory.
Odpovedať Známka: 5.2 Hodnotiť:
 

no keďže dostal iOS 9, celkom isto vieme povedať, že ešte aj v auguste 2016 (pred vydaním iOS10) bude mať najaktuálnejšiu verziu, čo je takmer 5 rokov. 6 rokov ak dostane iOS 10
Odpovedať Známka: 10.0 Hodnotiť:
 

nexus 4, vydany v 09/2012, mam tam najaktualnejsi android, dokonca par tyzdnov dozadu prisla aktualizacia, uz sa sice parkrat tvrdilo, ze pre ne aktualizacia nevyjde, ale kto vie kedy s tym skutocne skoncia... a to bola cena za telefon oproti iphonu polovicna a telefon stale slape
Odpovedať Známka: 10.0 Hodnotiť:
 

Myslím že z NSA by mohla byť celkom zisková firma...
Odpovedať Známka: 8.9 Hodnotiť:
 

Je rozdiel medzi zraniteľnosťou a backdoorom! :D
Odpovedať Známka: 10.0 Hodnotiť:
 

tak si najdem nejakeho ineho snowdena a preda mi backdoor za 500 000 a je to.
Odpovedať Známka: 3.3 Hodnotiť:
 

Dnesne backdoory niesu v style: /*toto je backdoor MILENA*/ ... kod ... /* koniec backdooru*/, ale vyzeraju ako chyby programatora, pretoze sa jedna o viacero takychto akoze chyb, ktore ale dokopy tvoria vopred predpripraveny zaklad, ktory sluzi na vytvorenie exploitu ktory moze napr. spustit utocnikom zvoleny kod. Potom ked sa taketo zranitelnosti objavia, je velmi tazke dokazat, ci vznikli nahodou nepozornostou programatora, alebo si to objednala napr. NSA a poprosila tvorcu softwaru, aby tymto stylom pridal par akoze chyb do jeho produktu.
Odpovedať Známka: 9.2 Hodnotiť:
 

taka firma uz je vola sa CIA - a nie, nieje statna...
Odpovedať Známka: -6.0 Hodnotiť:
 

vupen je kontraktor pre americku vladu. pre mna ostava zahadou ako to maju pravne poriesene, ze ponukaju odmenu za nieco co je v rozpore zo zakonom, kedze k objaveniu chyby v takom softveri asi nedojde len tak nahodou ale roznymi technikami, ktore su v rozpore s podmienkami pouzivania softveru tej-ktorej americkej spolocnosti. odmenu ponuka (snad) americka firma. divne divne..
Odpovedať Známka: 8.3 Hodnotiť:
 

Kde vákone je zakázané reverzne inžinierstvo?
Odpovedať Známka: 4.5 Hodnotiť:
 

Tvárme sa že som napísal "Kde v zákone je zakázané reverzne inžinierstvo?"
+ dodám..
"maju odmenu za nieco co je v rozpore zo zakonom"
a dalej
"ktore su v rozpore s podmienkami pouzivania softveru"
Podmienky používania nemôžu byť nadradené zákonu takže to že je niečo v podmienkach a ty to porušíš neznamená že je to proti zákonu...

Alebo sa snáď kolosálne mílim?
Odpovedať Známka: -7.1 Hodnotiť:
 

Ano, mYlis sa.
Odpovedať Známka: 10.0 Hodnotiť:
 

Na to ti mozu odpovedat ludia co pred rokmi reverzne dolovali informacie zo samby a prispievali do projektu. Niektori odmietali ist na akcie do statov,pretoze sa obavali zadrzania uz na letisku :D
Odpovedať Hodnotiť:
 

Skôr mi to príde ako - tu máte trezor. Ak ho otvoríte platím pivo.
Odpovedať Známka: 8.5 Hodnotiť:
 

Ehm, tu mate cudzi trezor.
Odpovedať Známka: 8.6 Hodnotiť:
 

Tu máte trezor, ktorý som ja nevyrobil mi príde presnejšie
Odpovedať Známka: 8.0 Hodnotiť:
 

Mno, mne príde ešte presnejšie: "Tu máte trezor, ktorý som ja nevyrobil a je v ňom niekoľko desiatok miliónov. Ty to otvor za milión a my to predáme NSA za niekoľko desiatok"
Odpovedať Známka: 3.3 Hodnotiť:
 

ehm ehm, mne pride najpresnejsie: "Tu mate trezor v ktorom je dalsi trezor. Otvorte len ten vnutrny trezor bez otvorenia vonkajsieho trezoru a dam vam pusu. Potom dam pusu aj ostatnym a poslem milion Janovi. Jano mi da potom pusu a kupi novy trezor". Nemyslite?
Odpovedať Známka: -6.0 Hodnotiť:
 

Neviem. Nevedel by si to vysvetlit aj trochu inak?
Odpovedať Známka: 10.0 Hodnotiť:
 

Čo? Že ma hľadá Mara, aby som aj jej synovi zariadil nepoškvrnené počatie a mohla sa mu narodiť ona?
Odpovedať Hodnotiť:
 

Skor mi to pride ako... Tu mate cudzi trezor, ak ho otvorite ukazete mi ako, vsetko co je dnu si necham, ale !! PLATIM PIVO !!
Odpovedať Hodnotiť:
 

"Na odmenu má objaviteľ chyby nárok len ak všetky ním využité zraniteľnosti pre dosiahnutie trvalej infekcie zariadenia a obídenie všetkých ochrán sú nové a zatiaľ neznáme."

Keď to majú deravé v niečom po starom a v niečom po novom, tak to už nie je zraniteľné, či ako?
Odpovedať Známka: 10.0 Hodnotiť:
 

Velmi tomu neverim, ako to dokazete a ako si uplatnite narok na odmenu? Povedzme ze najdem chybu kde cez prehliadac alebo sms/mms ziskam kontrolu nad jablkom. Potom uz im viac netreba, zistia si co som poslal, zanalyzuju a mna poslu do p...
Odpovedať Známka: 10.0 Hodnotiť:
 

alebo rovno odbachnu aby si to nezavesil na net kedze im za to platia sto nasobne viac
Odpovedať Známka: 10.0 Hodnotiť:
 

Pre každú osobu so schopnosťami, postačujúcimi na splnenie uvedenej požiadavky, je vzhľadom k jej znalosti hodnoty obsahu zariadení, používajúcich iOS 9, zrejmá nemožnosť akceptácie požadovaného "produktu" zo strany organizácie Zerodium, spôsobená kontextom formulácie očakávania : "niečo za niečo", jednoznačne vyjadrujúcim nedostatočnú pripravenosť na porozumenie princípu funkčnosti "produktu", podmieňujúcom jeho samotnú existenciu.
Odpovedať Známka: -3.3 Hodnotiť:
 

tak dá Tim ďaľší milión za bonus služby. Ios by som nechcel ani zadarmo. Iphone nemá na Lumie. Tá čínska ihračka nepodporuje ani karty. Zdochne mobil a je všetko preč. Na oblak vešať nič nebudem. Ios je tak bezpečný, že výde hneď jailbreak. Špehoval tam Carrier IQ dávno pred NSA. Už tam špehuje niečo iné. Tim...:)

Odpovedať Hodnotiť:

Pridať komentár