Контакты
Подписка
МЕНЮ
Контакты
Подписка

Охотники за багами получили миллион долларов от Zerodium

Охотники за багами получили миллион долларов от Zerodium

Охотники за багами получили миллион долларов от Zerodium


10.11.2015



 

Несколько недель назад компания Zerodium, известный брокер уязвимостей, пообещала $1 млн тому, кто обнаружит уязвимость и способ ее эксплуатации в свежей версии iOS 9.x. Награда, похоже, нашла своих героев: неизвестная группа хакеров обнаружила три бага в iOS 9.x, а также ряд уязвимостей в Google Chrome, сорвав куш.Основатель Zerodium заявил, что такая высокая премия может быть выписана "исключительно за уязвимость в iOS", так как исследователям придется затратить намного больше усилий, чтобы взломать защиту iOS. Для осуществления джейлбрейка такого рода (через браузер в удаленном режиме) понадобится две-три 0-day-уязвимости.Показать связанные сообщения Новый вариант Tinba атакует российские и японские банки 9 Ноябрь 2015 , 00:23 Adware-зловред Shuanet атакует Android 9 Ноябрь 2015 , 00:16 Бэкдор в китайском SDK шпионит за пользователями iOS 6 Ноябрь 2015 , 17:47 Награда была объявлена за рабочий эксплойт, позволяющий получить права суперпользователя к устройству на iOS 9.x без непосредственного подключения к компьютеру. Подобный джейлбрейк также должен действовать после перезагрузки смартфона или планшета.Обнаруженная хакерами дыра содержится предположительно в новых iPhone 6 и iPhone 5, iPad Air 2 и Air, iPad 4 и 3, а также iPad mini 4 и iPad mini 2.Обнаруженный исследователями ряд багов затрагивает не только iOS, но и браузер Google Chrome. Разработанный ими эксплойт обходит практически все средства защиты Apple. По понятным обстоятельствам Zerodium не планирует публично раскрывать данные о багах и эксплойте, но, как стало известно изданию The Register, Zerodium предоставит информацию об удаленном методе эксплуатации бага в iOS 9.x только тем, кто приобретет платную подписку на сервисы компании. Решение о том, раскрывать ли детали уязвимости, Zerodium оставляет за собой, но не исключает, что может поделиться информацией и с Apple.В поиске эксплойта соревновались две команды хакеров, но только одна из них смогла разработать полностью удаленный метод джейлбрейка iOS 9.1 и 9.2 beta через браузер. Победители едва успели к финишу: они отправили результат своей работы всего за несколько часов до закрытия конкурса. Их соперники частично справились с заданием и могут рассчитывать на утешительный приз.Zerodium собирается объявить ряд подробных конкурсов в ближайшем будущем; все они предполагают шестизначные премиальные выплаты.Ранее хакерская команда Pangu Team уже смогла предоставить метод джейлбрейка iOS 9, но он предполагал наличие физического доступа к устройству и не прошел квалификацию Zerodium.Компания Zerodium была основана в конце июля текущего года. Ее основным бизнесом является скупка исключительно высокорисковых 0-day-уязвимостей для всех основных платформ и сторонних приложений вроде программ Adobe. Мобильные платформы, в том числе Android, BlackBerry, Windows Phone и iOS, также являются предметом интереса со стороны Zerodium, как и крупные веб- и email-сервера. Покупая концепты атак, Zerodium планирует создавать на их основе защитные решения для своих клиентов, а также вносить их в свой реестр уязвимостей и эксплойтов.Деятельность брокеров, подобных Zerodium, многим видится противоречивой или даже аморальной: не секрет, что компании, скупающие 0-day-уязвимости, могут сотрудничать со спецслужбами или правительствами деспотичных государств, на чем, например, обожглись коллеги Zerodium по цеху — итальянская компания Hacking Team, кармически пострадавшая от взлома в этом году. После того как сообщество проанализировало утекшие в Сеть конфиденциальные данные и переписку, выяснилось, что Hacking Team на самом деле работала с правительствами Судана, Египта и Эфиопии, от связей с которыми корпорация всячески открещивалась ранее.

Источник:
Threatpost