Zerodium підвищила суму винагороди за віддалений jailbreak для iOS

Поки компанія Apple устраивала приватне захід для вузького кола security-ресерчеров своїх продуктів (недавно анонсована програма bug bounty), фірма Zerodium анонсувала підвищення винагород, які вона сплачує за виявлені вразливості. Зокрема, винагороду за віддалений jailbreak пристрої під управлінням iOS 10 зросло до $1,5 M. Нагадаємо, що iOS 10 на iPhone вже 7 скомпрометована 19-річним security-ресерчером, також запрошеним на закритий захід Apple.


Ми вже не раз згадували в своїх постах корпоративного блогу засновника фірми Zerodium Chaouki Bekrar, який відомий своїми скандальними висловлюваннями на адресу Apple і Google у зв'язку з недостатніми виплатами винагород дослідникам безпеки. В одному зі своїх твітів Bekrar підтвердив, що Zerodium не мала відношення до Trident эксплойтам, про яких ми писали раніше. Зв'язка з цих експлойтів дозволяла здійснювати віддалений jailbreak iOS 9 і оцінювалася Zerodium в $1M.


Рис. Нові розцінки Zerodium.

Поняття віддаленого jailbreak iOS, про який згадує Zerodium, є найбільш технічно складним методом компрометації цієї мобільної ОС. Він має на увазі під собою віддалене виконання коду в iOS з максимальними привілеями root, що, в деяких випадках, може призвести до повної перепрошиванню (reflashing) пристрої для повернення його в оригінальне стан. У даному процесі повинні бути задіяні відразу декілька вразливостей в різних компонентах iOS: веб-браузерном движку WebKit і в самому ядрі. Класичним випадком віддаленого jailbreak є нещодавно розкрита зв'язка експлойтів Trident. У ній використовувалися три типи вразливостей: RCE уразливість в движку WebKit, SFB уразливість в ядрі для обходу KASLR і LPE-уразливість в ядрі для підвищення своїх прав до рівня root.


Рис. Розцінки програми bug bounty від Apple.

Як видно, основна технічна відмінність між програмами bug bounty Apple і Zerodium в тому, що останню цікавлять експлойти для вразливостей, які мають практичне призначення. Тобто мова йде про віддалене виконання коду, що може бути цікаво клієнтам Zerodium, з якими вона працює. Не потрібно бути великим фахівцем в тому, щоб помітити про що насправді йде мова у випадку з Zerodium, RCE+LPE експлойти (тобто з обходом sandbox) використовуються в кібератаках в т. ч. і спецслужбами.

На відміну від Apple, Google, Microsoft, і інших вендорів з програмами bug bounty, Zerodium не обтяжує себе рішенням етичних питань. Клієнтами фірми можуть бути і спецслужби, використовують просунуті експлойти для кібератак в інтересах своєї держави. Подібні експлойти вже використовувалися не раз такими елітними state-sponsored угрупованнями як Equation Group (FiveEyes, Tilded Team) і Animal Farm (Snowglobe).


Рис. Етапи сабміта експлойта і прийняття рішення про суму виплати у випадку з Zerodium.

Bekrar також вказував у своєму твіттері, що для bug bounty вендорів характерний «затяжний» процес прийняття рішення про відправленої демонстрації експлуатації уразливості. На відміну від них, Zerodium пропонує лише семиденний період від сабміта експлойта до виплати винагороди.

Сам керівник Zerodium раніше мав відношення до відомої security-фірмі VUPEN, яка займалася розробкою власних експлойтів і пошуком вразливостей для продажу цієї інформації своїм клієнтам. Після прийняття Вассенаарских угод і накладення обмежень на торгівлю експлойта, а також технологіями «подвійного призначення» в інші країни було оголошено про припинення діяльності VUPEN. Після чого Bekrar заснував Zerodium (США), яка також набирає security-ресерчеров в R&D.

Зазначимо, що підозри на адресу Zerodium або VUPEN про продаж експлойтів спецслужбам, які можуть бути причетні до state-sponsored кібератакам не є выдумкой. Зокрема, серед клієнтів VUPEN було і АНБ (NSA), що має відношення до угруповання Equation Group. VUPEN співпрацювала з Hacking Team, масштабна компрометація якої сталася у минулому році. Hacking Team працювала з держ. органами і приватними компаніями різних країн світу, продаючи їм інформацію про эксплойтах.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.