Zwycięzca w konkursie hakerskim w wysokości 1 miliona na iOS 9

Zespół naukowców zajmujących się bezpieczeństwem mógł znaleźć sposób na zdalne przeniknięcie mechanizmów obronnych najnowszego mobilnego systemu operacyjnego Apple, dzięki czemu mogą otrzymać nagrodę w wysokości 1 miliona USD.

Pieniądze zostały oferowane w konkursie prowadzonym przez firmę Zerodium z siedzibą w Waszyngtonie, która prowadzi kontrowersyjną transakcję kupowania i sprzedawania informacji o lukach w oprogramowaniu.

Pogratulowała zwycięskiej drużynie w poniedziałek na Twitterze, chociaż nie zidentyfikowała ona naukowcy, którzy twierdzili, że znalezienie nowej luki w bezpieczeństwie systemu iOS 9 są niemożliwe do zweryfikowania.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Urzędnicy Apple nie od razu mieli komentarz.

Chaouki Bekrar, Zerodium's założyciel, powiedział za pośrednictwem poczty elektronicznej, że exploit zwycięskiego zespołu "nadal jest szeroko testowany przez Zerodium w celu zweryfikowania i udokumentowania każdej z podstawowych luk."

Apple iOS jest jednym z najbardziej wymagających hakerów do wykorzystania, a firma opracowała silną obrona wokół systemu iOS, która utrudnia infekowanie złośliwym oprogramowaniem.

Zerodium ogłosił konkurs we wrześniu, mówiąc, że nagrodzi pierwszą grupę, która wymyśli zdalny exploit oparty na przeglądarce. Oznacza to, że nieautoryzowany kod musiał zostać dostarczony do urządzenia z systemem iOS, zachęcając użytkownika do odwiedzenia strony internetowej przy użyciu przeglądarki Chrome lub Safari lub za pomocą wiadomości tekstowej lub multimedialnej wysyłanej do urządzenia zgodnie z warunkami Zerodium.

"To zdecydowanie Wyzwanie techniczne jest bardzo trudne ", powiedział Patrick Wardle, dyrektor ds. badań w firmie Synack, usługi, która pasuje do analityków bezpieczeństwa zajmujących się polowaniem na błędy.

Pomimo trudności, entuzjaści znaleźli sposoby na obronę Apple w przeszłości, aby zainstalować niezatwierdzone aplikacje, proces znany jako jailbreaking.

Jailbreakers zwykle chcą uruchamiać aplikacje z Cydii, sklepu dla nieautoryzowanych aplikacji. Kod exploita do jailbreak jest publicznie dostępny, a ci, którzy go opracowali, nie byli opłacani.

Zerodium, jednak utrzymuje podatności, które kupuje blisko i udostępnia je tylko klientom, którzy subskrybują jego kanał bezpieczeństwa.

Bekrar powiedział, że luki znalezione przez zwycięską drużynę mogą zostać zgłoszone firmie Apple później przez Zerodium.

Nagroda, którą firma rzekomo płaci, pokazuje, jak cenna może być informacja dla innych firm, organizacji, a nawet państw narodowych.

"Jeśli płacą milion dolarów, jestem pewien, że oznacza to, że ktoś jest skłonny go kupić za to lub więcej", powiedział Wardle w poniedziałkowym wywiadzie telefonicznym.

Wady są znane jako "zero-day" "luki w zabezpieczeniach, ponieważ Apple nie miał jeszcze czasu na opracowanie łaty. Apple może być trudny do ustalenia, jak naprawić wady, jeśli więcej informacji nie wycieknie.

Wardle powiedział, że zespół prawdopodobnie znalazł kilka wad oprogramowania, które są używane w łańcuchu, aby zapewnić, że jakiś zasadzony kod pozostaje na iOS 9 urządzenia nawet po jego ponownym uruchomieniu.

Prawdopodobnie oznacza to, że grupa znalazła lukę w zabezpieczeniach przeglądarki, a następnie inną, rdzeń systemu operacyjnego, znany jako jądro, powiedział Wardle. Trzecia wada byłaby również potrzebna, by zapewnić, że nieautoryzowany kod pozostanie na urządzeniu podczas restartu, ponieważ Apple sprawdza dziwne aplikacje, powiedział.

Bekrar nie ujawniłby wielu szczegółów poza tym, że "łańcuch exploitów zawiera wiele luk" wpływa zarówno na przeglądarkę Google Chrome, jak i iOS i omija niemal wszystkie ograniczenia. "

Drugi zespół również brał udział w konkursie, napisał Bekrar. Ten zespół opracował częściowy jailbreak i może być uprawniony do częściowej nagrody, powiedział.

Bekrar założył także Vupen, obecnie wyłączonego brokera luk w zabezpieczeniach, który sprzedawał informacje agencjom rządowym i innym organizacjom.

Model biznesowy Vupen był krytykowany przez niektórzy w społeczności bezpieczeństwa, którzy twierdzili, że dzielenie się informacją o słabych punktach bez powiadamiania producentów oprogramowania może narazić użytkowników na niepotrzebne ryzyko, jeśli informacje te zostaną wykorzystane.