Venduta falla da 1 milione di dollari su iOS 9: iPhone e iPad a serio rischio hack

Venduta falla da 1 milione di dollari su iOS 9: iPhone e iPad a serio rischio hack

Zerodium ha annunciato che è terminata la "caccia al bug" su iOS 9. Il team vincitore avrebbe ricevuto un premio di un milione di dollari per aver scoperto una serie di vulnerabilità che permetterebbero l'esecuzione di codice da remoto via browser

di Nino Grasso pubblicata il , alle 17:01 nel canale Apple
AppleiPhoneiOS
 

Un gruppo di hacker anonimo è stato pagato un milione di dollari da Zerodium per aver scoperto una serie di falle di sicurezza presenti su iOS 9.x. Le vulnerabilità, presenti sul sistema operativo e sul browser Google Chrome, consentirebbero l'esecuzione del jailbreak untethered, ovvero uno sblocco persistente ad ogni riavvio della macchina dei permessi più elevati del sistema. La vera notizia, data dalla stessa Zerodium, è che al momento circolano gravi vulnerabilità di sistema su iOS, il cui valore può superare il milione di dollari.

Falla di sicurezza su iOS 9 venduta a 1 milione di dollari

L'exploit può essere eseguibile su tutti i modelli di iPhone 6 e iPhone 5 sul fronte smartphone, mentre su tablet è applicabile su iPad Air 2, iPad Air, iPad 4, iPad 3, iPad mini 4 e iPad mini 2. "La nostra taglia ha richiesto molto più impegno rispetto ad un jailbreak classico visto che può essere eseguita via remoto tramite browser, infatti è stato necessario scoprire due o tre bug in più rispetto a un jailbreak pubblico", ha dichiarato Zerodium, che ha specificato che le falle sono state scoperte sia su iOS che sulla versione di Chrome per il sistema operativo di Cupertino.

Il programma iOS #0day bounty era stato annunciato lo scorso mese dalla stessa società: "Zerodium pagherà un milione di dollari americani ad ogni individuo o team che crea e pubblica a Zerodium un jailbreak untethered esclusivo e browser-based per gli ultimi dispositivi Apple e per il sistema operativo iOS 9", scriveva la società sul bando. "Il programma è aperto fino al 31 ottobre, e può essere terminato anche in anticipo se il premio totale destinato ai ricercatori raggiunge i tre milioni di dollari statunitensi". Nelle scorse ore è stato annunciato che c'è un vincitore, anche se è rimasto anonimo.

È decisamente improbabile che Zerodium rilasci pubblicamente le vulnerabilità di sistema

Riteniamo che sia decisamente improbabile che Zerodium rilasci pubblicamente le vulnerabilità di sistema: "Riporteremo prima le vulnerabilità ai nostri clienti, e successivamente potremmo riportarle ad Apple", ha dichiarato il fondatore della società Chaouki Bekrar. Ed è probabile che Apple sia disposta a pagare anche una cifra ben superiore al milione pur di ottenerla, soprattutto considerando i rischi di avere un sistema operativo mobile potenzialmente aperto ad attacchi eseguibili in remoto e tramite browser web.

Il jailbreak untethered è infatti solo un male minore di fronte ad una vulnerabilità simile attuabile tramite browser web. Il fondatore di Zerodium era precedentemente responsabile di Vupen, società che si occupava di scoperta e brokeraggio di vulnerabilità di sicurezza. Vupen in passato aveva avuto rapporti di collaborazione con corporazioni statunitensi e governi, vendendo loro exploit di varia natura per mezzo di un sistema a sottoscrizione.

Molti ricercatori vendono bug non rilasciati pubblicamente ad aziende di terze parti, le quali sono disposte a pagare fior di quattrini pur di ottenerle. Ma un milione di dollari è una cifra rarissima da raggiungere in questi casi: "Nessun software a parte iOS merita realmente una taglia così elevata", ha dichiarato il fondatore di Zerodium. Nella storia del sistema operativo solo in un unico caso il jailbreak era effettuabile attraverso il browser. Di solito, infatti, le vulnerabilità che lo permettono sono decisamente più innocue e di scarso interesse per eventuali aggressori.

Purtroppo in questo caso la situazione è diversa, con Apple che è chiamata a dover rispondere ad un problema non proprio piacevole né per la società né, soprattutto, per gli utenti della piattaforma mobile.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
gianluca.f04 Novembre 2015, 07:58 #1
non è un ricatto questo?
gd350turbo04 Novembre 2015, 08:32 #2
Azz figo...
Non ho mai sentito di una richiesta di soldi per un bug !

Ma tanto apple ne ha di soldi...
Magari è la volta buona che si mette di impegno prima di rilasciare un firmware !

mauriziogl04 Novembre 2015, 13:21 #3
Beh, arrivare a questo punto per trovare un bug in un sistema operativo, vuol dire che è già molto sicuro, ma c'è sempre quello che ha da ridire...comunque che giro di soldi dietro a ste cose!
Eress04 Novembre 2015, 13:40 #4
Allora ho fatto bene a restare con iOS 6 ormai chi se lo caga più!
Stevejedi05 Gennaio 2016, 17:31 #5
Originariamente inviato da: Eress
Allora ho fatto bene a restare con iOS 6 ormai chi se lo caga più!


Eddai, partecipa anche tu alla grande Obsolescenza Programmata!


p.s.
Per chi mi da del fanboy: ho ipad mini, ipad 2, iphone 3gs, iphone 5s, MBPro13" Retina. Parlo con cognizione di causa.
pingalep22 Gennaio 2016, 20:12 #6
ios sei è troppok avanti, io ho ios 5.1
gli hacker mi girano dei bitcoin per compassione sul mio ipad prima versione quando mi bucano e vedono i miei pdf che laggano a bestia lol.
adapter23 Gennaio 2016, 09:23 #7
Originariamente inviato da: Eress
Allora ho fatto bene a restare con iOS 6 ormai chi se lo caga più!


Originariamente inviato da: pingalep
ios sei è troppok avanti, io ho ios 5.1
gli hacker mi girano dei bitcoin per compassione sul mio ipad prima versione quando mi bucano e vedono i miei pdf che laggano a bestia lol.


hot_blaster23 Gennaio 2016, 09:53 #8
Originariamente inviato da: pingalep
ios sei è troppok avanti, io ho ios 5.1
gli hacker mi girano dei bitcoin per compassione sul mio ipad prima versione quando mi bucano e vedono i miei pdf che laggano a bestia lol.


bio.hazard23 Gennaio 2016, 12:23 #9
se i sedicenti hacker sono del calibro di questo pirla, possiamo dormire sonni tranquilli:
http://www.hwupgrade.it/forum/showthread.php?t=2752934

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^