Kazanan 1 milyon dolarlık IOS 9 hacking yarışmasında hak iddia etti

Bir güvenlik araştırmacıları ekibi, Apple'ın en son mobil işletim sisteminin savunmasına uzaktan erişim sağlamanın bir yolunu bulmuş olabilir ve bu da onları 1 milyon dolar ödüle layık görmüştür.

Para Zerodium adlı bir Washington DC tarafından yönetilen şirket tarafından yapılan bir yarışmada, yazılım zafiyetleri hakkında bilgi alıp satma konusunda tartışmalı bir iştir.

Kazanan takımı Twitter'da kutsadı.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Apple yetkilileri derhal bir yorumda bulunmadı. > Chaouki Bekrar, Zerodium'un kurucu, e-posta yoluyla, kazanan ekibin istismarının "Zerodium tarafından, temeldeki güvenlik açıklarının her birini doğrulamak ve belgelemek üzere kapsamlı bir şekilde test edildiğini" söyledi.

Apple’ın iOS'u, bilgisayar korsanlarının istismar edilmesini ve şirketin güçlü bir şekilde tasarlanmasını zorlaştırıyor. iOS’ta, kötü amaçlı yazılımlara bulaşmasını zorlaştıran savunmalar.

Zerodium, yarışmaya ilk grubunu uzaktan, tarayıcı tabanlı bir istismar oluşturması için ödüllendireceğini söyleyerek yarışmaya başladı. Bunun anlamı, kullanıcının Zerodium'un koşullarına göre Chrome veya Safari'yi kullanarak bir web sayfasını ziyaret etmesini veya cihaza gönderilen bir metin veya multimedya mesajını kullanarak bir iOS cihazına teslim edilmesi gerektiği anlamına gelir.

"Kesinlikle Teknik açıdan çok zorlayıcı, "diyor," Synack'la araştırma direktörü Patrick Wardle, hata araştırmacıları ile güvenlik araştırmacılarını eşleştiren bir hizmet.

Zorluklara rağmen, meraklıları, Apple'ın geçmişte savunmalarını onaylamayan uygulamaların yüklenmesine yol açtı. jailbreaking olarak bilinen süreç.

Jailbreakers genellikle yetkisiz uygulamalar için bir mağaza olan Cydia'dan uygulama çalıştırmak istiyor. Jailbreak istismar kodu herkese açıktır ve bunu geliştirenler ödenmemiştir.

Zerodium, satın aldıkları güvenlik açıklarını yakın tutar ve yalnızca Güvenlik Araştırmaları Feed'ine abone olan müşterilere sunar.

Bekrar, kazanan takımın bulduğu savunmasızlıkların Zerodium tarafından daha sonra Apple'a bildirilebileceğini söyledi.

Şirketin iddia ettiği şekilde ödüllendirildiği ödül, bilginin diğer şirketlere, kuruluşlara ve hatta ulus devletlere ne kadar değerli olabileceğini gösteriyor.

"Eğer bir milyon dolar ödüyorlarsa, eminim ki birisi bunun için ya da daha fazlasını satın almak istiyor," dedi Wardle Pazartesi günü bir telefon görüşmesinde.

Kusurlar "sıfır-gün" olarak biliniyor "Apple’ın henüz bir yama geliştirmek için henüz zaman kalmadığı güvenlik açıkları. Apple'ın daha fazla bilgi sızdırmadığı takdirde kusurları nasıl düzelteceğini anlaması zor olabilir.

Wardle, ekibin muhtemelen bir zincirde kullanılan ve herhangi bir eklenmiş kodun iOS'ta kalmasını sağlamak için kullanılan birkaç yazılım hatası bulunduğunu söyledi 9 aygıt yeniden başlatıldıktan sonra bile.

Muhtemelen grubun bir tarayıcı güvenlik açığı bulduğu ve daha sonra işletim sistemi çekirdeği etrafında bir tane daha bulduğu söyleniyor. Apple'ın garip uygulamaları kontrol ettiği için cihazda izinsiz kodun yeniden başlatılmasını sağlamak için üçüncü bir kusura ihtiyaç duyulacağını söyledi.

Bekrar bunun dışında pek çok detay ortaya çıkarmayacaktı "istismar zinciri birkaç zayıflık içeriyor hem Google Chrome tarayıcısını hem de iOS'u etkileyerek ve neredeyse tüm etki azaltma işlemlerini atlayarak. ”

Yarışmaya da ikinci bir ekip de katıldı, Bekrar yazdı. Bu ekip kısmi bir jailbreak geliştirdi ve kısmi ödül almaya hak kazanabileceğini söyledi.

Bekrar ayrıca, devlet kurumlarına ve diğer örgütlere bilgi satan, şimdi kepenkli bir savunmasız komisyoncu olan Vupen'i kurdu.

Vupen'in iş modeli tarafından eleştirildi. Bazıları, güvenlik açığı bilgilerini yazılım satıcılarını haberdar etmeden paylaşmanın, bilgileri kötüye kullanması durumunda insanlara gereksiz riskler koyabileceğini iddia eden güvenlik topluluğunda.