В сентябре текущего года компания Zerodium объявила аттракцион неслыханной щедрости: каждому хакеру, который сумеет обнаружить 0day в iOS 9 и предоставит эксплоит, обещали заплатить миллион долларов. Компания держит свое слово. Вечером 2 ноября 2015 года в официальном твиттере Zerodium появилось сообщение о том, что конкурс, как и планировалось, завершился 31 октября. Выиграть приз сумела лишь одна команда, осуществившая удаленный непривязанный джейлбрейк через браузер.
Our iOS #0day bounty has expired & we have one winning team who made a remote browser-based iOS 9.1/9.2b #jailbreak (untethered). Congrats!
— Zerodium (@Zerodium) November 2, 2015
Напомню, условия конкурса нельзя было назвать легкими. Прислать требовалось неизвестную ранее, неопубликованную и нигде незадокументированную цепочку 0day уязвимостей\эсплоит, которые позволят преодолеть все защитные механизмы iOS 9, в том числе ASLR, песочницы, bootchain, rootless и code signing.
Эксплоит\джейлбрейк также должен был обеспечивать возможность удаленной, превелегированной установки на устройство (с полностью обновленной iOS 9 на борту) произвольного приложения. Поэтому, к примеру, команда Pangu, недавно представившая джелбрейк для iOS 9.0-9.0.2, не заработала миллион: их метод не работает удаленно.
На выбор также предлагалось три вектора атак:
- веб-страница, поражающая мобильный браузер (Mobile Safari или Google Chrome) с дефолтными настройками
- веб-страница поражающая любое приложение, доступное через браузер
- текстовое сообщение и\или мультимедийный файл, присланный посредством SMS или MMS
Глава Zerodium Чауки Бекрар (Chaouki Bekrar), который также является соучредителем и руководителем французской компании Vupen, подтвердил изданию Motherboard в письме, что у конкурса есть победитель. Неназванная команда хакеров прислала специалистам Zerodium свой эксплоит буквально за несколько часов до окончания конкурса. По словам Бекрара, победители обнаружили «сразу ряд» уязвимостей в Chrome и iOS, благодаря чему и сумели преодолеть все препятствия и осуществили «удаленный, и полностью основанный на браузере (непривязанный) джейлбрейк». Сейчас компания все еще тестирует эксплоит, проверяя его на полное соответствие условиям состязания.
Бекрар отказался назвать команду, сумевшую осуществить первый удаленный джейлбрейк со времен iOS 7. Также глава Zerodium, разумеется, не стал раскрывать никаких деталей о найденных хакерами уязвимостях и методах их эксплуатации. Напомню, что бизнес модель Zerodium (из-за которой компания неоднократно подвергалась жесткой критике) такова, что компания хранит обнаруженные и купленные 0day в тайне, перепродавая их крупным правительственным организациям и силовым структурам (к примеру, АНБ). Журналисты издания Motherboard пишут, что пару недель назад анонимный источник в АНБ подтвердил им, что миллион долларов – хорошая, справедливая цена эксплоит такого рода, потому что «если перепродать его правильным людям», можно заработать куда больше.
Компания Apple не дает официальных комментариев относительно происходящего. Зато Бекрар полагает, что найденные неизвестной группой уязвимости будут исправлены инженерами из Купертино "в ближайшие недели или месяцы". Руководитель Zerodium даже отвесил Apple своеобразный комплимент, заявив:
«Этот конкурс – лучшая реклама для Apple, он еще раз подтверждает, что к безопасности iOS там относятся серьезно, это не просто маркетинг. Никакое другое ПО, кроме iOS, не заслуживает bug bounty таких размеров».
Фото: Andrew Mager