1,5 millió dollárt kereshet egy iPhone hibával

A Zerodium cég az Apple iOS operációs rendszerben feltárt, kritikus veszélyességű biztonsági résekért mostantól akár 1,5 millió dollárt is hajlandó fizetni.
 

A Zerodium céget 2015-ben az a Chaouki Bekrar hozta létre, aki korábban a Vupen alapítójaként vált ismertté. A célja azt volt, hogy előmozdítsa azon sebezhetőségek feltárását, amelyek az egyes gyártók előtt még ismeretlenek. Számos alkalmazás (vBulletin, WordPress, Joomla, Drupal stb.) esetében lehet hibákat jelezni, amiért 10-200 ezer dolláros jutalmakat lehet kapni. Legalábbis akkor, ha a hibabejelentések és a biztonsági rések kihasználására alkalmas kódok mindenben megfelelnek a Zerodium követelményeinek.
 
A cég tavaly novemberben kezdte igazán komolyan jutalmazni az Apple iOS operációs rendszerben lévő sebezhetőségek kimutatását. Akkor egymillió dollárt ajánlott fel azoknak, akik az iOS 9.1 vagy a 9.2 béta verzióban súlyos biztonsági hibákat mutatnak ki. Aztán idővel ez az összeg 500 ezer dollárra csökkent. Most azonban a cég vezetése úgy határozott, hogy ismét emeli a tétet. Nem is akármennyire, hiszen a jutalom felső határa immár 1,5 millió dollár. Akár ekkora összeg is ütheti a markát annak, aki olyan exploit kódot fejleszt, amelynek felhasználásával az iOS alapú eszközök felett teljes körűen átvehetővé válhat az irányítás.
 
Aggályok és kritikák
 
A Zerodium nagyvonalú bejelentése első hallásra pozitívnak hangzik, azonban az elmúlt napokban sok kritikák kapott szakmai berkeken belül, nem véletlenül. A gond ugyanis az, hogy a cégnek jelzett sérülékenységek nem feltétlenül jutnak el a gyártóhoz, jelen esetben az Apple-höz. Ezzel kapcsolatban a vállalat szűkszavúan úgy nyilatkozott, hogy a tudomására jutó sebezhetőségeket csak "nagyon korlátozottan" teszi elérhetővé kormányzati szervek, valamint vállalatok egy szűk köre számára.
 

"Ha a Zerodium milliókat tud fizetni a feltárt sérülékenységekért, akkor az csak annyit jelent, hogy ennél jóval többért tudja értékesíteni ezeket az információkat. De mennyire etikus az a cég, amely a megvásárolt nulladik napi biztonsági hibákat nem közli azzal a gyártóval, amely frissítést tudnak készíteni, és ezzel felhasználók millióit tudná megvédeni"

- adott hangot nemtetszésének Drew Koenig, a Magenic biztonsági mérnöke.
 
Az Apple is lépett
 
Nyáron az Apple hosszú dilemmázás után végül elindította a biztonsági kutatók számára a jutalmazási programját. A kezdeményezés keretében bejelentett sebezhetőségekért maximum 200 ezer dollárt lehet kapni. A jutalmazási rendszer jelenleg elsősorban az iOS, illetve az iCloud köré összpontosul. A pénzdíjak csak abban az esetben járnak, ha a kutatók részletes leírást készítenek a feltárt sebezhetőségekről, és az azok kihasználásához szükséges exploit kódokat is kifejlesztik.