Crowdfense, una startup situata negli Emirati Arabi Uniti, sta offrendo 3 milioni di dollari a chiunque riesca a individuare vulnerabilità zero-day sfruttabili in macOS, iOS, Android o Windows. Lo riferisce il sito Motherboard spiegando che l’azienda in questione da martedì 24 aprile ha avviato uno specifico programma di “bug bounty”.
Con il termine Vulnerabilità o Attacco Zero-Day si indica una minaccia informatica che sfrutta vulnerabilità di applicazioni software non ancora divulgate o per le quali non è ancora stata distribuita una patch. Gli attacchi zero-day sono considerati una minaccia molto grave e considerati particolarmente interessanti dai cybercriminali in quanto sfruttano falle di sicurezza per le quali non è al momento disponibile nessuna soluzione. Sfruttando vulnerabilità di questo tipo alcune aziende potrebbero sviluppare strumenti di jailbreak o in grado di superare restrizioni intrinseche di dispositivi come iPhone, iPad ed eseguire codice non ordinario.
Nel caso di Crowdfense, quest’ultima afferma di volere vendere i dettagli a forze dell’oridine e agenzie dei servizi segreti. Andrea Zapparoli, direttore di Crowdfense, spiega: “Quando penso alle agenzie governative, non penso alla componente militare ma a quella civile che opera contro crimine, terrorismo e cose di questo tipo”. E ancora: “Miriamo soltanto a strumenti pensati allo svolgimento di attività di contrasto o intelligence, non volte a distruggere o deteriorare funzionalità ed efficacia dei sistemi target ma unicamente finalizzati alla raccolta di informazioni”.
La startup è interessata solo a exploit che potenzialmente consentono di prendere di mira macOS, iOS, Android e Windows; non sembra interessata a exploit che riguardano dispositivi IoT, di telefonia, di rete o altre infrastrutture. L’azienda promette massima trasparenza con chi comunica dettagli di loro interesse e afferma che il budget a disposizione per il programma di bug bounty è di 10 milioni di dollari. I programmi di bug bounty sono attivati da varie aziende per invogliare gli utenti a segnalare vulnerabilità. Anche Apple ha attivato delle ricompense ma queste arrivano fino a un massimo di 200.000 dollari.
