1,5 millió dollárt kereshet egy iPhone hibával
A Zerodium cég az Apple iOS operációs rendszerben feltárt, kritikus veszélyességű biztonsági résekért mostantól akár 1,5 millió dollárt is hajlandó fizetni.A Zerodium céget 2015-ben az a Chaouki Bekrar hozta létre, aki korábban a Vupen alapítójaként vált ismertté. A célja azt volt, hogy előmozdítsa azon sebezhetőségek feltárását, amelyek az egyes gyártók előtt még ismeretlenek. Számos alkalmazás (vBulletin, WordPress, Joomla, Drupal stb.) esetében lehet hibákat jelezni, amiért 10-200 ezer dolláros jutalmakat lehet kapni. Legalábbis akkor, ha a hibabejelentések és a biztonsági rések kihasználására alkalmas kódok mindenben megfelelnek a Zerodium követelményeinek.
A cég tavaly novemberben kezdte igazán komolyan jutalmazni az Apple iOS operációs rendszerben lévő sebezhetőségek kimutatását. Akkor egymillió dollárt ajánlott fel azoknak, akik az iOS 9.1 vagy a 9.2 béta verzióban súlyos biztonsági hibákat mutatnak ki. Aztán idővel ez az összeg 500 ezer dollárra csökkent. Most azonban a cég vezetése úgy határozott, hogy ismét emeli a tétet. Nem is akármennyire, hiszen a jutalom felső határa immár 1,5 millió dollár. Akár ekkora összeg is ütheti a markát annak, aki olyan exploit kódot fejleszt, amelynek felhasználásával az iOS alapú eszközök felett teljes körűen átvehetővé válhat az irányítás.
Aggályok és kritikák
A Zerodium nagyvonalú bejelentése első hallásra pozitívnak hangzik, azonban az elmúlt napokban sok kritikák kapott szakmai berkeken belül, nem véletlenül. A gond ugyanis az, hogy a cégnek jelzett sérülékenységek nem feltétlenül jutnak el a gyártóhoz, jelen esetben az Apple-höz. Ezzel kapcsolatban a vállalat szűkszavúan úgy nyilatkozott, hogy a tudomására jutó sebezhetőségeket csak "nagyon korlátozottan" teszi elérhetővé kormányzati szervek, valamint vállalatok egy szűk köre számára.
- adott hangot nemtetszésének Drew Koenig, a Magenic biztonsági mérnöke."Ha a Zerodium milliókat tud fizetni a feltárt sérülékenységekért, akkor az csak annyit jelent, hogy ennél jóval többért tudja értékesíteni ezeket az információkat. De mennyire etikus az a cég, amely a megvásárolt nulladik napi biztonsági hibákat nem közli azzal a gyártóval, amely frissítést tudnak készíteni, és ezzel felhasználók millióit tudná megvédeni"
Az Apple is lépett
Nyáron az Apple hosszú dilemmázás után végül elindította a biztonsági kutatók számára a jutalmazási programját. A kezdeményezés keretében bejelentett sebezhetőségekért maximum 200 ezer dollárt lehet kapni. A jutalmazási rendszer jelenleg elsősorban az iOS, illetve az iCloud köré összpontosul. A pénzdíjak csak abban az esetben járnak, ha a kutatók részletes leírást készítenek a feltárt sebezhetőségekről, és az azok kihasználásához szükséges exploit kódokat is kifejlesztik.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.