Zerodium выплатила $1 млн за бреши в iOS 9

image

Теги: бреши, эксплуатация, iOS 9

Уязвимости позволяют обойти практически все средства защиты.

Компания Zerodium, в сентябре этого года запустившая программу по поиску уязвимостей в iOS 9, выплатит $1 млн группе исследователей за обнаруженные ими бреши, эксплуатация которых позволяет удаленно взломать защиту в последней версии ОС от Apple. Поскольку имена экспертов не раскрываются, проверить информацию о возможных проблемах в iOS 9 не представляется возможным, пишет издание Networkworld.

Напомним , в рамках своей программы Zerodium, специализирующаяся на покупке эксплоитов и уязвимостей, пообещала выплатить сумму в размере $1 млн за разработку эксклюзивного web-ориентированного джейлбрейка для iOS 9. Компания сообщила, что готова заплатить семизначную сумму за хакерскую технику, позволяющую удаленно получить полный контроль над iOS-девайсом через web-браузер, уязвимое приложение на устройстве или текстовое сообщение. В общей сложности компания была готова выплатить $3 млн исследователям, разработавшим эксплоит.

По словам основателя компании Чауки Бекрара (Chaouki Bekrar), в настоящее время команда Zerodium проводит разноплановый анализ эксплоита-победителя с целью подтверждения и документирования подразумеваемых уязвимостей. Бекрар также отметил, что компания может проинформировать Apple об обнаруженных брешах.

Судя по награде, которую Zerodium готова выплатить, речь идет о достаточно серьезных уязвимостях, подробности о которых могут быть перепроданы за гораздо большую сумму, считает руководить исследовательского отдела компании Synack Патрик Уордл (Patrick Wardle). По его словам, команда исследователей, скорее всего, обнаружила несколько брешей, эксплуатация которых по цепи гарантирует, что вредоносный код останется на устройстве даже в случае его перезагрузки.

Глава Zerodium не обнародовал информацию о проблемах, но отметил, что цепочка эксплуатации включает ряд затрагивающих Google Chrome и iOS брешей, которые позволяют обойти практически все установленные средства защиты.

По словам Бекрара, второй команде специалистов, разработавших частичный джейлбрейк, также может быть выплачена награда, но в неполном размере. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.