Másfél millió dollárt is érhet egy iPhone hiba

A Zerodium új díjazási rendszert vezetett be az etikus hackerek számára, akik mostantól akár félmillió dollárt is kereshetnek chat appokban feltárt sérülékenységekkel.
 

Az informatikai cégek közül egyre többen jutalmazzák a külsős biztonsági kutatókat akkor, ha azok etikus módon, első kézből jeleznek számukra különféle sérülékenységeket az alkalmazásokban, webes szolgáltatásokban. Csakhogy eközben egyre több olyan vállalat is színre lép, amelyek sebezhetőségi információkat gyűjtenek, illetve osztanak meg az érintett fejlesztőkkel (nyilván nem ingyen). Ezek a cégek is fizetnek az etikus hackereknek, olykor nem is keveset. Ilyen például a Zerodium is, amely most átárazta a biztonsági réseket.
 
A Zerodium jelezte, hogy mostantól különválasztja a mobilos, valamint az asztali és szerver számítógépeket sújtó sebezhetőségeket a jutalmazás szempontjából. Ezzel párhuzamosan pedig új kategóriákat vezetett be. Így immár lehetőség van a legnépszerűbb mobil chat appok (WeChat, Viber, Facebook Messenger, Signal, Telegram, WhatsApp, iMessage) hibáinak bejelentésére is. Ha valaki egy olyan sérülékenységre akad, amely távoli kódfuttatást, illetve jogosultsági szint emelést tesz lehetővé Android vagy iOS alatt valamely mobil chat alkalmazás hibája folytán, akkor akár félmillió dollár is ütheti a markát. Hasonlóan magas a kitűzött díj az SMS/MMS sebezhetőségek esetében.
 
Mobil fronton továbbra is az iOS ostromlásával lehet a legtöbbet keresni. Ha ugyanis valaki egy olyan biztonsági hibát talál, amellyel egy iPhone távolról, felhasználói közreműködés nélkül jailbreakelhető, akkor 1,5 millió dollárt tehet zsebre. Ha némi felhasználói "segítségre" is szükség van a sérülékenység kihasználásához (például linkre való kattintásra), akkor a jutalom egymillió dollárra csökken.
 
Ami az asztali PC-ket és a szerveres környezeteket illeti, a legtöbbet (átlagosan 100 ezer dollárt) a sandbox megkerülésre és a kódaláírások kijátszására lehetőséget adó sebezhetőségekkel, illetve a súlyos kernelhibákkal és WiFi-exploitokkal lehet keresni. A díjak között azonban ennél magasabb összegek is szerepelnek. 300 ezer dollárt ér például egy olyan Windows 10 sérülékenység, amely felhasználói közreműködés nélküli, távoli kódfuttatásra ad módot. 150 ezer dollár pedig az Apache Web Server, illetve az IIS kritikus biztonsági réseiért jár. Mindezek mellett a Zerodium többek között a Flash Player, Chrome, PHP, OpenSSL, Microsoft Exchange Server, Firefox, Tor, Office és WordPress kapcsán is várja a bejelentéseket.