Zerodium, azienda che vende e compra exploit, ha fatto sapere che offrirà 1.5 milioni di dollari a chi trova exploit zero-day (vulnerabilità sfruttabili all’istante) per scardinare iPhone o iPad con iOS 10.
ArsTechnica spiega che la “taglia” evidenzia il rafforzamento dei protocolli di sicurezza integrati in iOS 10, protezioni che rendono più complessa la creazione di procedure di jailbreak da attivare in remoto (visitando un sito web).
Zerodium segue pratiche molto discutibili, pagando cifre elevate per conoscere in esclusiva vulnerabilità che poi vende ad agenzie governative; quest’ultime sfruttano le vulnerabilità per vari scopi, inclusi fini di sorveglianza. Lo scorso anno Zerodium aveva offerto un milione di dollari per scardinare iOS.
Chaouki Bekra, fondatore dell’azienda, spiega che i prezzi elevati offerti sono la risposta alle migliorie che i produttori di software – Apple e Google in particolare – hanno escogitato rendendo molto più complesso compromettere i dispositivi.
“I prezzi sono direttamente collegati alla difficoltà di attivare un’intera catena di exploit; sappiamo che su iOS 10 e Android 7 sono entrambi molto più difficile da bucare rispetto alle precedenti versioni”. Alla richiesta di spiegazioni del perché gli exploit iOS sono pagati 7.5 volte in più rispetto a quelli Android, Bekra spiega: “Significa che le catene di exploit su iOS sono 7.5 volte più difficili da ottenere o le richieste sono 7.5 volte superiori. La realtà è un mix tra queste due affermazioni”.
La risposta dei produttori di sistemi operativi alle discutibili pratiche di aziende come Zerodium sono i programmi di “Bug Bounty” (attivato recentemente anche da Apple) con i quali sono offerti riconoscimenti e ricompense in denaro per la segnalazione di bug, in particolar modo di quelli relativi a exploit e vulnerabilità.
I “bug bounty” dei produttori offrono cifre meno elevate rispetto ad aziende come Zerodium. Apple, ad esempio, offre un massimo di 200.000$ per chi individua exploit in grado di compromettere la procedura di avvio del sistema e cifre inferiori per vulnerabilità meno importanti.
Le cifre pagate dai ricercatori di exploit variano ad ogni modo in base alla complessità e al livello di rischio che comporta la scoperta di una vulnerabilità. Per bug non noti relativi al Flash Player, ad esempio, le ricompense previste variano da 50.00$ a 80.000$.
La cifra di 1.5 milioni di dollari per individuare vulnerabilità su iOS, rende l’idea di quanto sia complesso cercare di scardinare la sicurezza del sistema operativo della Mela. Apple ha progettato la piattaforma iOS dando massima priorità alla sicurezza, sviluppando e incorporando nel sistema funzionalità innovative volte a rafforzare la sicurezza dei dispositivi mobili e a proteggere per default l’intero sistema.