image

Bedrijf looft 1 miljoen dollar uit voor zero day-lek in iOS 9

dinsdag 22 september 2015, 10:38 door Redactie, 6 reacties

Een bedrijf dat zero day-lekken van onderzoekers opkoopt om ze vervolgens aan overheidsinstanties en grote ondernemingen door te verkopen heeft een beloning van 1 miljoen dollar uitgeloofd voor een zero day-lek in iOS 9. Het gaat om een kwetsbaarheid die via de browser moet kunnen worden aangevallen en een aanvaller permanente toegang tot het iOS-toestel geeft.

Er moet verder geen interactie van de gebruiker zijn vereist, behalve het bezoeken van de webpagina. Daarnaast krijgen onderzoekers ook betaald als de aanval via sms of mms kan worden uitgevoerd. Zerodium, zoals het bedrijf heet, stelt dat de kwetsbaarheid exclusief moet zijn. In de eigen tekst wordt bij de vereiste voor de zero day gesproken over een "untethered jailbreak", maar volgens beveiligingsexpert Robert Graham is dit een afleidingsmanoeuvre, aangezien het Zerodium niet om een jailbreak is te doen.

"Een 'browser-gebaseerde jailbreak is hetzelfde als een 'browser-gebaseerde zero day", zo stelt Graham. Volgens de expert is er vanuit inlichtingendiensten een grote vraag naar dit soort kwetsbaarheden. Zeker nu de helft van de iPhone-gebruikers inmiddels iOS 9 heeft geïnstalleerd zouden inlichtingendiensten geen toegang meer tot de systemen van doelwitten kunnen krijgen. Tenzij ze over een nieuwe zero day-aanval beschikken, aldus Graham. Aangezien Zerodium stelt dat het zero day-lek exclusief moet zijn, verwacht hij dat het bedrijf de kwetsbaarheid vervolgens aan meerdere partijen zal doorverkopen.

Reacties (6)
22-09-2015, 11:31 door Anoniem
En als je nou zo'n kwetsbaarheid vind, waarom zou je deze dan aan Zerodium geven voor 1 miljoen, terwijl je deze dan dus ook zelf aan de diverse overheidsinstanties en grote ondernemingen kan verkopen voor waarschijnlijk veel meer dan 1 miljoen?
22-09-2015, 11:45 door Anoniem
Verwerpelijk dit. Witte boorden criminelen zijn het gewoon.
22-09-2015, 11:46 door Anoniem
He mooi. Geeft je zomaar het idee dat Apple dit er niet standaard al zelf ingebakken heeft.

Ik heb nog zo'n zero day voor Windows 10 liggen, zelf gevonden, exclusief, voldoet aan alles wat hierboven beschreven is.
zou dat ook een miljoen euro waard zijn? ^^
22-09-2015, 13:49 door Anoniem
Beetje rare wereld leven we niet?

Met astronomische bedragen mensen belonen iets kapot en onveilig te maken, terwijl ouderen en hulpbehoevende onder de eigen bevolking kunnen creperen omdat 'er geen geld is' voor een uurtje extra zorg, dat betere medicijn wat wel werkt, of dat ene hulpmiddel van € 100,-

Een WiFi netwerkje 'kraken' als je even geen internet hebt, en jan modaal vliegt de gevangenis in, maar aanzetten tot wereldwijd vandalisme, schenden van mensenrechten en er goed rijk van worden, dat mag wel gewoon als je een kvk nr hebt.

Als inlichtingendiensten op zoek zijn naar zero days, waarom kunnen ze die niet direct inkopen en moet dit altijd via mallware-maffia (welke zich dus eveneens boven de wet stellen en met hun achterlijk hoge winst de belastingdruk van burgers verhogen). Als overheden ze direct kopen besparen ze een enorme berg geld.
22-09-2015, 13:53 door Anoniem
Door Anoniem:

Ik heb nog zo'n zero day voor Windows 10 liggen, zelf gevonden

Eentje maar...? ;)
23-09-2015, 08:21 door karma4
Door Anoniem:
Door Anoniem:

Ik heb nog zo'n zero day voor Windows 10 liggen, zelf gevonden

Eentje maar...? ;)
Er is zo'n beloningsprogramma van ms dat behoorlijke bedragen uitkeert voor elk gevonden item. Nooit meer wat van gehoord. Geen claims of afwijzingen die onterecht zouden zijn. Wat Let je?
Ik ben benieuwd naar zo'n verhaal met alle achtergronden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.