Брокер на рынке эксплойтов и уязвимостей — компания Zerodium, образованная основателем VUPEN Чауки Бекраром (Chaouki Bekrar), объявила о том, что организует программу Bug Bounty продолжительностью месяц, целью которой является поиск багов в Apple iOS 9. Исследователи, участвующие в «забеге», могут получит до миллиона долларов.

По словам Бекрара, призовой фонд программы составит $3 млн. Инициатива должна завершиться 31 октября или ранее, если призовой фонд будет исчерпан.

«Zerodium заплатит миллион долларов США каждому исследователю или команде исследователей, способных предоставить эксклюзивный джейлбрейк (без использования аппаратных средств и работающий в браузере) для iOS 9 или устройств на ее базе», — заявил Бекрар.

К рассмотрению прилагаются заявки, содержащие неизвестные, неопубликованные и никем до этого не найденные уязвимости и эксплойты, способные обойти многоступенчатую защиту iOS 9, в том числе ASLR, цифровую подпись кода и процесс bootchain.

«Эксплойт или джейлбрейк должны обеспечить возможность удаленной и долговременной установки произвольного приложения (например, Cydia) при повышенных привилегиях на устройстве с самой актуальной версией ОС», — говорится в официальном анонсе начала охоты за багами. «Точкой входа для атаки по условиям инициативы должны быть веб-страница для мобильных версий браузеров Safari или Chrome или же любое приложение, переход на которое возможен из браузера. Методом, используемым в атаке, также может быть текстовое сообщение или мультимедийный файл, отправленные в SMS или MMS. Весь процесс эксплуатации или джейлбрейкинга должен осуществляться удаленно, незаметно, продолжительно и не требовать от пользователя, ставшего целью атаки, никаких действий, кроме посещения веб-страницы или чтения SMS- и MMS-сообщений», — предупреждают в Zerodium.

Атаки, успех которых достигается за счет физического доступа к устройству, а также проводимые через Bluetooth, NFC или радиомодуль, дисквалифицируются. По плану компании устройства, участвующие в программе, — это iPhone 5 и более поздние модели этого смартфона, iPad Air, Air 2, iPad третьего и четвертого поколения, а также iPad mini 2 и 4.

Компания Zerodium была основана в конце июля этого года. Цель компании — скупка исключительно высокорисковых 0-day-уязвимостей для всех основных платформ и сторонних приложений вроде программ Adobe. Мобильные платформы, в том числе Android, BlackBerry, Windows Phone и iOS, также являются предметом интереса со стороны Zerodium, как и крупные веб- и email-сервера. Покупая концепты атак, Zerodium планирует создавать на их основе защитные решения для своих клиентов, а также вносить их в свой реестр уязвимостей и эксплойтов.

«В задачу Zerodium не входит покупка теоретически эксплуатируемых или неэксплуатируемых уязвимостей. Мы приобретаем исключительно уязвимости нулевого дня, снабженные рабочим эксплойтом, в том числе предполагающим многоуровневые атаки, то есть эксплойты уязвимостей браузера как с методом побега из песочницы или обхода сэндбокса, так и без него, которые подходят под наши требования», — подтвердили в компании.

На этом противоречивом рынке уже присутствуют другие брокеры эксплойтов, скупающие баги у исследователей и продающие их своим заказчикам. Весьма иронично, что VUPEN постоянно открещивалась от бизнеса скупки уязвимостей и Бекрар много раз говорил, что его компания продает уязвимости только демократическим правительствам, не находящимся под санкциями. Но история со взломом «коллег» Zerodium, итальянской компании Hacking Team, раскрыла все секреты и подтвердила, что не все компании, работающие на этом рынке, придерживаются своих благородных убеждений.

Hacking Team первой кричала о том, что работает только с «хорошими парнями», но утечка документов и их последующая публикация показали, что вендор инструментов для слежки предлагал свои продукты правительствам Судана, Египта и Эфиопии, а также планировал сотрудничать с другими странами, находящимися под санкциями ЕС. Целевой аудиторией основного продукта Hacking Team — Remote Control System — являются правоохранительные органы и службы разведки. Программный инструмент позволяет взламывать компьютеры и мобильные устройства и отслеживать все действия пользователя. Эта практика неоднократно вызывала негодование не только у ИБ-экспертов, но и у правозащитных организаций.

Категории: Главное, Уязвимости