Na lovu za milijon dolarjev vredno ranljivostjo v iOS
Applov operacijski sistem iOS ima milijon dolarjev vredno ranljivost, ki omogoča prevzem nadzora nad iPhonom oziroma iPadom, a niti Apple niti javnost ne vedo, kje tiči luknja. Prav dobro pa to ve podjetje, ki se ukvarja s prodajo ranljivosti vojskam, obveščevalnim službam, vladam, korporacijam in orožarjem.
Zagonsko podjetje Zerodium je avgusta razpisalo nagrado v vrednosti milijon dolarjev za odkritje ranljivosti, ki bo omogočala prevzem nadzora nad napravo z iOS. Ranljivost mora biti taka, da je za okužbo dovolj obiskati določeno spletno stran z brskalnikom Chrome ali Safari (in ne kakšno drugo nameščeno eksotiko) ali prejeti SMS oziroma MMS. Okužba mora potekati pritajeno in brez vednosti ali sodelovanja uporabnika, omogočati pa mora popoln nazor nad napravo vključno z nameščanjem poljubnim aplikacij. Rok se je iztekel konec oktobra.
Sliši se precej grozljivo in po drugi strani malo verjetno, a iz Zerodiuma so sporočili, da bodo izplačali milijon dolarjev, ker so prejeli točno tako rešitev. Zadeva je resna, saj je ustanovitelj Zerodiuma Chaouki Bekrar, ki ga poznamo kot ustanovitelja podjetja VUPEN. To francosko podjetje živi od odkrivanja in prodaje ranljivosti, redno pa zmaguje tudi na hekerskih tekmovanjih. Kako se v tem poslu obračajo veliki denarji, smo že pisali.
Bekrar je kontroverzna oseba zato, ker VUPEN in sedaj tudi Zerodium odkrite ranljivosti zadržita za sebe oziroma jih drago prodajata svojim strankam. Proizvajalci in uporabniki tako vedo le, da obstaja neka ranljivost, včasih pa niti tega ne.
Kdo je dobil milijon dolarjev, ni znano. So pa sporočili, da so prejeli celo dve prijavi, a druga ne izpolnjuje strogih pogojev za milijonsko nagrado, bo pa verjetno prinesla nekaj manj denarja. In da, to kar počneta VUPEN in Zerodium, je popolnoma legalno. Za zdaj.