Jailbreak

Jailbreak iOS 9: 1 milione di dollari per hackerare l’iPhone

Una startup di sicurezza informatica pagherà un milione di dollari a chiunque possa hackerare il sistema operativo mobile più sicuro al mondo. Signore e signori, accendete i motori. L’azienda di sicurezza informatica Zerodium ha annunciato che ricompenserà chiunque sia in grado di buttare giù iOS 9, che secondo il sito della startup è il “sistema operativo mobile più sicuro al mondo.”

Apple iOS, come tutti i sistemi operativi, è spesso affetto da vulnerabilità di sicurezza critiche, tuttavia a causa del crescente numero di miglioramenti di sicurezza e dell’efficacia di sfruttare le mitigazioni in atto, è attualmente il sistema operativo mobile più sicuro”, ha dichiarato la società. “Ma non fatevi ingannare, sicuro non significa infrangibile, significa solo che iOS ha attualmente il più alto costo e complessità di sfruttamento delle vulnerabilità, e qui è dove il concorso Million Dollar iOS 9 Bug Bounty entra in gioco.”

iphone-jailbreak-ios-9-informatblog

Zerodium è stata fondata la scorsa estate da Chaouki Bekrar, un noto commerciante di exploit, un codice informatico che attacca vulnerabilità software precedentemente sconosciute. La sua nuova startup è disposta a pagare un totale di 3 milioni di dollari per un massimo di tre team o singoli hacker i cui attacchi vadano a buon fine. Apple, che viene spesso lodata per le sue strette misure di sicurezza, non ha risposto immediatamente alla richiesta di commento.

Bekrar ha anche fondato la controverso società di sicurezza informatica francese VUPEN, una società di intermediazione costruita sulla vendita di bug informatici ed exploit. A differenza di VUPEN, che ha gestito tutta la propria attività di ricerca internamente, l’attività di Zerodium è costruita su osservazioni di ricercatori esterni. Entrambe le società però non divulgano le loro scoperte alle imprese interessate, come Apple, Google o Microsoft, ma le vendono al miglior offerente, sia che si tratti di una applicazione della legge o di un’agenzia di spionaggio, o di un’altra società.

Quando la cosiddetta vulnerabilità Stagefright, che ha colpito il sistema operativo Android di Google, è divenuta pubblica all’inizio di quest’anno, Bekrar avrebbe pagato il ricercatore che l’ha scoperta 100.000 dollari.

Christopher Soghoian, direttore tecnologico presso l’American Civil Liberties Union, ha fatto riferimento a tale businness come “mercanti moderni di morte“, dal momento che può essere difficile tenere traccia di dove finiscono gli exploit venduti e altrettanto difficile evitare che cadano nelle mani di regimi oppressivi. Questa industria spesso opera fuori dai riflettori pubblici, anche se un recente hack della società spyware italiana Hacking Team ha aiutato ad esporre alcuni dei suoi meccanismi interni tramite e-mail trapelate e altri documenti.

Per richiedere il premio, il più grande mai messo in palio per un exploit di questo tipo, gli hacker devono essere in grado di dimostrare che possono assumere in remoto il controllo dei più recenti dispositivi iOS come gli iPhone 6s o i nuovi iPad. Per una carrellata completa delle regole, consultate il sito web di Zerodium.

“Per ovvie ragioni di sicurezza, Zerodium non mantiene alcuna infrastruttura web dedicata a questo evento. Tutte le osservazioni presentate a Zerodium devono essere inviate attraverso messaggi di posta elettronica cifrati”, afferma sito web (dove ci si potrebbe aspettare un modulo di invio). “Ci riserviamo il diritto, a nostra esclusiva discrezione, di fare o di non fare un’offerta per acquisire una vulnerabilità per qualsiasi motivo”.

Se la concorrenza è una trovata pubblicitaria per la nuova società di Bekrar o un concorso legittimo, non si può dire con certezza. Katie Moussouris, responsabile della startup HackerOne, ha detto che premi così elevati per gli exploit potrebbero causare problemi alle aziende tecnologiche che cercano di proteggere i loro prodotti. “Questi non sono stipendi generalmente sostenibili per il mercato”, ha scritto, “a causa della difficoltà di mantenere gli sviluppatori e i tester necessari che potrebbero semplicemente lasciare il loro lavoro se premi come questo diventassero più comuni”.

Opportunamente, le richieste devono essere presentate entro Halloween: il 31 Ottobre 2015. Dolcetto o scherzetto, cari hacker. (Fonte)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Le guide più interessanti