Een bedrijf dat zero day-lekken van onderzoekers opkoopt om ze vervolgens aan overheidsinstanties en grote ondernemingen door te verkopen heeft een beloning van 1 miljoen dollar uitgeloofd voor een zero day-lek in iOS 9. Het gaat om een kwetsbaarheid die via de browser moet kunnen worden aangevallen en een aanvaller permanente toegang tot het iOS-toestel geeft.
Er moet verder geen interactie van de gebruiker zijn vereist, behalve het bezoeken van de webpagina. Daarnaast krijgen onderzoekers ook betaald als de aanval via sms of mms kan worden uitgevoerd. Zerodium, zoals het bedrijf heet, stelt dat de kwetsbaarheid exclusief moet zijn. In de eigen tekst wordt bij de vereiste voor de zero day gesproken over een "untethered jailbreak", maar volgens beveiligingsexpert Robert Graham is dit een afleidingsmanoeuvre, aangezien het Zerodium niet om een jailbreak is te doen.
"Een 'browser-gebaseerde jailbreak is hetzelfde als een 'browser-gebaseerde zero day", zo stelt Graham. Volgens de expert is er vanuit inlichtingendiensten een grote vraag naar dit soort kwetsbaarheden. Zeker nu de helft van de iPhone-gebruikers inmiddels iOS 9 heeft geïnstalleerd zouden inlichtingendiensten geen toegang meer tot de systemen van doelwitten kunnen krijgen. Tenzij ze over een nieuwe zero day-aanval beschikken, aldus Graham. Aangezien Zerodium stelt dat het zero day-lek exclusief moet zijn, verwacht hij dat het bedrijf de kwetsbaarheid vervolgens aan meerdere partijen zal doorverkopen.
Deze posting is gelocked. Reageren is niet meer mogelijk.