Vdrli v iPhone in si prislužili milijonsko nagrado

Naloga hekerjev, ki so sprejeli izziv start-upa Zerodium – ta raziskovalce varnosti računalniških sistemov nagrajuje za odkrite hrošče in varnostne luknje –, je bila vdreti v iPhone (ali iPad) z operacijskim sistemom iOS 9.1 ali 9.2b z oddaljene naprave in ga odkleniti oziroma jailbreakati.

Na ta način bi si odprli prosto pot, da bi lahko nanj na daljavo namestili katerokoli aplikacijo z dovoljenji za dostop do vseh funkcij telefona. S tem bi lahko tudi prevzeli popoln nadzor nad napravo. Eden od pogojev za izpolnitev izziva je bil, da napad izvedejo prek klasičnega brskalnika, kot sta Chrome ali Safari, ali sporočila SMS ali MMS.

Our iOS #0day bounty has expired & we have one winning team who made a remote browser-based iOS 9.1/9.2b #jailbreak (untethered). Congrats!

— Zerodium (@Zerodium) November 2, 2015

Uspešno odklepanje iPhona na daljavo je pomenilo, da so napadalci morali odkriti do zdaj še neznane varnostne luknje v operacijskem sistemu iOS 9. Predstavniki Zerodiuma so na Twitterju sporočili, da je to uspelo le eni ekipi hekerjev, ki so rešitev pokazali le nekaj ur pred iztekom časovne omejitve izziva. Njihove identitete Zerodium ni razkril.

Trgovci z varnostnimi luknjami Start-up Zerodium varnostnih lukenj, za katere tistim, ki jih odkrijejo, plačuje visoke nagradne premije, ne zadrži zase. Prodaja jih naprej, a ima le peščico strank, med katerimi prevladujejo vladne agencije, kot sta NSA in CIA. Varnostne luknje v operacijskih sistemih mobilnih naprav so namreč zelo iskano in cenjeno "blago". To še posebej velja za Applov iOS, ki ga je na daljavo zelo težko ogroziti – do hekerjev, ki so opravili z izzivom Zerodiuma, to nikomur ni uspelo že skoraj dve leti.