Venduta falla da 1 milione di dollari su iOS 9: iPhone e iPad a serio rischio hack
Zerodium ha annunciato che è terminata la "caccia al bug" su iOS 9. Il team vincitore avrebbe ricevuto un premio di un milione di dollari per aver scoperto una serie di vulnerabilità che permetterebbero l'esecuzione di codice da remoto via browser
di Nino Grasso pubblicata il 03 Novembre 2015, alle 17:01 nel canale AppleAppleiPhoneiOS
Un gruppo di hacker anonimo è stato pagato un milione di dollari da Zerodium per aver scoperto una serie di falle di sicurezza presenti su iOS 9.x. Le vulnerabilità, presenti sul sistema operativo e sul browser Google Chrome, consentirebbero l'esecuzione del jailbreak untethered, ovvero uno sblocco persistente ad ogni riavvio della macchina dei permessi più elevati del sistema. La vera notizia, data dalla stessa Zerodium, è che al momento circolano gravi vulnerabilità di sistema su iOS, il cui valore può superare il milione di dollari.
L'exploit può essere eseguibile su tutti i modelli di iPhone 6 e iPhone 5 sul fronte smartphone, mentre su tablet è applicabile su iPad Air 2, iPad Air, iPad 4, iPad 3, iPad mini 4 e iPad mini 2. "La nostra taglia ha richiesto molto più impegno rispetto ad un jailbreak classico visto che può essere eseguita via remoto tramite browser, infatti è stato necessario scoprire due o tre bug in più rispetto a un jailbreak pubblico", ha dichiarato Zerodium, che ha specificato che le falle sono state scoperte sia su iOS che sulla versione di Chrome per il sistema operativo di Cupertino.
Il programma iOS #0day bounty era stato annunciato lo scorso mese dalla stessa società: "Zerodium pagherà un milione di dollari americani ad ogni individuo o team che crea e pubblica a Zerodium un jailbreak untethered esclusivo e browser-based per gli ultimi dispositivi Apple e per il sistema operativo iOS 9", scriveva la società sul bando. "Il programma è aperto fino al 31 ottobre, e può essere terminato anche in anticipo se il premio totale destinato ai ricercatori raggiunge i tre milioni di dollari statunitensi". Nelle scorse ore è stato annunciato che c'è un vincitore, anche se è rimasto anonimo.
È decisamente improbabile che Zerodium rilasci pubblicamente le vulnerabilità di sistema
Riteniamo che sia decisamente improbabile che Zerodium rilasci pubblicamente le vulnerabilità di sistema: "Riporteremo prima le vulnerabilità ai nostri clienti, e successivamente potremmo riportarle ad Apple", ha dichiarato il fondatore della società Chaouki Bekrar. Ed è probabile che Apple sia disposta a pagare anche una cifra ben superiore al milione pur di ottenerla, soprattutto considerando i rischi di avere un sistema operativo mobile potenzialmente aperto ad attacchi eseguibili in remoto e tramite browser web.
Il jailbreak untethered è infatti solo un male minore di fronte ad una vulnerabilità simile attuabile tramite browser web. Il fondatore di Zerodium era precedentemente responsabile di Vupen, società che si occupava di scoperta e brokeraggio di vulnerabilità di sicurezza. Vupen in passato aveva avuto rapporti di collaborazione con corporazioni statunitensi e governi, vendendo loro exploit di varia natura per mezzo di un sistema a sottoscrizione.
Molti ricercatori vendono bug non rilasciati pubblicamente ad aziende di terze parti, le quali sono disposte a pagare fior di quattrini pur di ottenerle. Ma un milione di dollari è una cifra rarissima da raggiungere in questi casi: "Nessun software a parte iOS merita realmente una taglia così elevata", ha dichiarato il fondatore di Zerodium. Nella storia del sistema operativo solo in un unico caso il jailbreak era effettuabile attraverso il browser. Di solito, infatti, le vulnerabilità che lo permettono sono decisamente più innocue e di scarso interesse per eventuali aggressori.
Purtroppo in questo caso la situazione è diversa, con Apple che è chiamata a dover rispondere ad un problema non proprio piacevole né per la società né, soprattutto, per gli utenti della piattaforma mobile.
9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoNon ho mai sentito di una richiesta di soldi per un bug !
Ma tanto apple ne ha di soldi...
Magari è la volta buona che si mette di impegno prima di rilasciare un firmware !
Eddai, partecipa anche tu alla grande Obsolescenza Programmata!
p.s.
Per chi mi da del fanboy: ho ipad mini, ipad 2, iphone 3gs, iphone 5s, MBPro13" Retina. Parlo con cognizione di causa.
gli hacker mi girano dei bitcoin per compassione sul mio ipad prima versione quando mi bucano e vedono i miei pdf che laggano a bestia lol.
gli hacker mi girano dei bitcoin per compassione sul mio ipad prima versione quando mi bucano e vedono i miei pdf che laggano a bestia lol.
gli hacker mi girano dei bitcoin per compassione sul mio ipad prima versione quando mi bucano e vedono i miei pdf che laggano a bestia lol.
http://www.hwupgrade.it/forum/showthread.php?t=2752934
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".