Эксперты могут заработать $1 млн за создание экплоита/джейлбрейка для iOS 9

image

Теги: Apple, iOS 9, джейлбрейк, эксплоит, вознаграждение

Компания ZERODIUM планирует потратить на программу выплаты вознаграждений $3 млн.

ИБ-компания ZERODIUM, которая специализируется на приобретении уязвимостей нулевого дня, объявила о старте новой масштабной программы выплаты вознаграждений - Million Dollar iOS 9 Bug Bounty. ZERODIUM готова заплатить миллион долларов исследователю или группе исследователей, которые создадут эксклюзивный web-ориентированный джейлбрейк для новой операционной системы Apple - iOS 9.

В общей сложности ZERODIUM планирует потратить на программу выплаты вознаграждений три миллиона долларов. Побороться за колоссальное финансовое поощрение предлагают опытным ИБ-экспертам, специалистам реверс-инжиниринга и разработчикам джейлбрейка, которые создадут эксплоит или джейлбрейк для iOS 9.

Программа будет действительная до 31 октября 2015 года, однако если ZERODIUM выплатит назначенные вознаграждения до истечения срока - Million Dollar iOS 9 Bug Bounty будет закрыта заранее.

Исследователи должны будут предоставить полную информацию о ранее необнаруженной, неопубликованной и незарегистрированной уязвимости нулевого дня, а также эксплоит к ней, который позволит злоумышленнику обойти системы безопасности iOS 9, в том числе песочницу, ASLR, код подписи, безопасную низкоуровневую загрузку и пр. Разработанный эксплоит или джейбрек должен привести к удаленному выполнению кода, повышению привилегий и постоянной установке произвольного приложения на полностью обновленной ОС iOS 9.

Эксплоит/джейлбрейк должен обеспечить удаленное проникновение в iOS 9 через мобильные web-браузеры Mobile Safari или Google Chrome в стандартной конфигурации, или позволить получить доступ к любому приложению через инфицированную web-страницу в браузере, или с помощью SMS- или MMS-сообщений обеспечить доступ к системе.

Весь процесс использования эксплоита или джейлбрейка должен выполняться удаленно, незаметно и без какого-либо взаимодействия с пользователем, помимо его посещения вредоносной интернет-страницы или чтения SMS- или MMS-сообщений. Такие типы атак, как физический доступ, эксплуатация Bluetooth, NFC и немодулированной передачи, не входят в программу выплаты вознаграждений.

Эксплоит/джейлбрейк должен влиять на работу таких устройств, как iPhone 6s, iPhone 6s Plus, iPhone 6, iPhone 6 Plus, iPhone 5, iPhone 5c, iPhone 5s, iPad Air 2, iPad Air, iPad (4 поколения), iPad (3 поколения), iPad mini 4 и iPad mini 2.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.