Alfonso Maruccia

Caccia al bug, iOS 9 val bene un milione

Taglie milionarie per un exploit capace di compromettere l'ultima versione dell'OS mobile di Apple, già installata sulla metà dei dispositivi compatibili. Nel mentre Cupertino aggiorna Watch OS dopo aver risolto il bug che aveva bloccato l'update

Roma - ZERODIUM vuole "acquisire" bug di alto profilo per iOS9, e per farlo è disposta a pagare un milione di dollari per singola vulnerabilità fino a un massimo di tre milioni. La startup sostiene di essere interessata alla ricerca informatica indipendente, quindi l'eventuale scoperta di bug pericolosi dovrebbe (in teoria) favorire i "buoni" e le aziende produttrici piuttosto che i cyber-criminali.

Nell'annunciare il suo programma di taglie milionario per le falle su iOS9, ZERODIUM concede a Apple di aver creato il sistema operativo mobile più sicuro in circolazione: sicuro "non significa iviolabile", avverte la società, ma solo che le risorse necessarie e la complessità dello sfruttamento dei bug sono le più dispendiose del mercato.

I denari offerti da ZERODIUM sarebbero quindi ben spesi, se poi si considera che Apple già si vanta della percentuale di installazioni da parte di fan, con un 50 per cento di dispositivi compatibili già aggiornati alla nuova release.
La startup si impegna dunque a consegnare il fatidico milione a un singolo ricercatore o un team di ricercatori che riusciranno a fornire i dettagli di un attacco con le seguenti caratteristiche: il bug dev'essere sfruttabile a partire da una pagina Web esterna caricata su Safari o Chrome nella loro configurazione di default, da una pagina accessibile per mezzo di una app di terze parti, o da un messaggio testuale o audiovisivo consegnato tramite servizi SMS/MMS.

La taglia offerta da ZERODIUM sarà valida fino al prossimo 31 ottobre, o comunque fino all'esaurimento dei tre milioni di dollari messi in palio dalla società: gli attacchi che richiedano accesso fisico, connessioni a corto raggio (Bluetooth, NFC) o baseband non saranno idonei a partecipare al programma, anche se ZERODIUM potrebbe decidere di acquistare in ogni caso i bug per un prezzo sicuramente inferiore.

Le vulnerabilità dei gadget prodotti da Apple fanno gola ai "commercianti" di bug, e non a caso Cupertino ha deciso di aspettare alcuni giorni prima di rilasciare la seconda versione del suo OS per smartwatch: WatchOS 2 corregge i bug emersi all'ultimo momento e include, tra le novità più significative, la capacità di far girare app native oltre a quella di "replicare" il funzionamento delle app fatte girare sul cellulare.

Alfonso Maruccia
Notizie collegate
58 Commenti alla Notizia Caccia al bug, iOS 9 val bene un milione
Ordina
  • http://apple.slashdot.org/story/15/09/22/1657211/a...

    e pensare che certi personaggi sfottevano per Heartbleed

    e adesso? tutti in ferie? ah no, tutti ad installare i fix Rotola dal ridere
    non+autenticato
  • - Scritto da: collione
    > e adesso? tutti in ferie? ah no, tutti ad
    > installare i fix Rotola dal ridere

    Non ci sono fix. Tocca ad Apple rimuovere dall'app store tutte le app sospette, che aumentano ogni giorno (dall'ultima analisi sono oltre 4000, vedi http://arstechnica.com/security/2015/09/xcodeghost.../ )
  • - Scritto da: bradipao
    > - Scritto da: collione
    > > e adesso? tutti in ferie? ah no, tutti ad
    > > installare i fix Rotola dal ridere
    >
    > Non ci sono fix. Tocca ad Apple rimuovere
    > dall'app store tutte le app sospette, che
    > aumentano ogni giorno (dall'ultima analisi sono
    > oltre 4000, vedi
    > http://arstechnica.com/security/2015/09/xcodeghost
    beh i fix ci sono... nel senso che i vari WeChat, CamCard ecc "devono" fornire (se vogliono e se viene accettata) la release fixata...e l'utente rimuovere la propria e decidere se si fida di nuovo dei vari produttori di WeChat&co da mettere la ver fixata.... E decidere quante password cambiare e quante bestemmie tirareA bocca aperta....

    PS: allo stato attuale pare abbastanza verosimile che, nonostante sia in piedi da fine febbraio, fosse poco piu' di un esperimento evil 'spinto' molto poco (anche se in crescita da settembre)..... aka l'omino avrebbe potuto fare MOLTI piu' danni di quelli che parrebbe aver fatto, data l'incredibile diffusione della bestia (almeno potenziale).. si vedano anche le analisi di opendns (cisco) in merito. La pagina https://www.virustotal.com/en/domain/init.icloud-a.../ (x es) cmq e' inquietante... mi sa che ci sono ancora cose da dire in merito.... (se solo non fossero al 90% in cineseCon la lingua fuori ... )
    non+autenticato
  • - Scritto da: bradipao

    > oltre 4000, vedi
    > http://arstechnica.com/security/2015/09/xcodeghost

    oh mio Dio, qualcuno l'ha detto a maxsix? Rotola dal ridere

    con 4000 app infette c'è il serio rischio che il suo icoso sia già bucato Rotola dal ridere

    ma allora è stato praticamente abbattuto il forte Alamo? è una Pearl Harbor! l'11 Settembre della mela!!!

    godo come un riccio nell'immaginare la faccia dei nostri eroi in questo momento Rotola dal ridere
    non+autenticato
  • Diciamo che inviolabile non c'e' nulla. che sia per ingegneria sociale (XCodeGhost) o per inettitudine ammessa e dichiarata (vedi link)

    http://arstechnica.co.uk/security/2015/09/googles-.../

    se ora terminassimo col trollaggio ed ognuno si godesse il proprio device, il mondo sarebbe migliore
  • e con questo chiudo il mio.
    non+autenticato
  • - Scritto da: IridiumFX
    > Diciamo che inviolabile non c'e' nulla. che sia
    > per ingegneria sociale (XCodeGhost) o per
    > inettitudine ammessa e dichiarata (vedi
    > link)
    >
    > http://arstechnica.co.uk/security/2015/09/googles-
    >
    > se ora terminassimo col trollaggio ed ognuno si
    > godesse il proprio device, il mondo sarebbe
    > migliore

    Ti piacerebbe, ma non funziona mica cosi'.
    Il tema di oggi e': "I devices apple sono buggati"

    E tu hai solo due possibilita':
    1) Se sei un applefan vai a nasconderti dalla vergogna
    2) Se non lo sei ti metti a sghignazzare e sfottere quelli del punto 1

    L'opzione "Si, ma anche altri smartphone hanno dei bug" non vale.
  • Dio Buono ... davvero senza parole

    - Scritto da: panda rossa
    > - Scritto da: IridiumFX
    > > Diciamo che inviolabile non c'e' nulla. che
    > sia
    > > per ingegneria sociale (XCodeGhost) o per
    > > inettitudine ammessa e dichiarata (vedi
    > > link)
    > >
    > >
    > http://arstechnica.co.uk/security/2015/09/googles-
    > >
    > > se ora terminassimo col trollaggio ed ognuno
    > si
    > > godesse il proprio device, il mondo sarebbe
    > > migliore
    >
    > Ti piacerebbe, ma non funziona mica cosi'.
    > Il tema di oggi e': "I devices apple sono buggati"
    >
    > E tu hai solo due possibilita':
    > 1) Se sei un applefan vai a nasconderti dalla
    > vergogna
    > 2) Se non lo sei ti metti a sghignazzare e
    > sfottere quelli del punto
    > 1
    >
    > L'opzione "Si, ma anche altri smartphone hanno
    > dei bug" non
    > vale.
  • sai, non che l'animale rosso abbia una gran vita, più che fare l'ultras dei sistemi operativi cosa vuoi che faccia...
    non+autenticato
  • - Scritto da: panda rossa
    > Ti piacerebbe, ma non funziona mica cosi'.
    > Il tema di oggi e': "I devices apple sono buggati"

    Facile andare a scuola quando ci sono le tue materie preferite e nascondersi quando ci sono quelle piú ostiche.

    R I D I C O L O
  • - Scritto da: aphex_twin
    > - Scritto da: panda rossa
    > > Ti piacerebbe, ma non funziona mica cosi'.
    > > Il tema di oggi e': "I devices apple sono
    > buggati"
    >
    > Facile andare a scuola quando ci sono le tue
    > materie preferite e nascondersi quando ci sono
    > quelle piú
    > ostiche.
    >
    > R I D I C O L O

    Guarda che io sono su questo forum tutti i giorni, altro che materie ostiche.

    Sono intervenuto per difendere M$ nell'articolo in cui M$ riconosce la superiorita' dei server linux.

    Sono intervenuto per difendere M$ nell'articolo in cui il ministero della difesa ha deciso di spendere meglio i suoi denari.

    Sono intervenuto per difendere i videotecari nell'articolo in cui il governo francese ha dovuto ammenttere di aver buttato milioni di euro nell'HADOPI senza aver beccato un pirata che sia uno.

    E sono anche intervenuto a difendere apple nell'articolo in cui ha presentato l'invenzione del millennio: l'applecar.

    Tu invece dov'eri?
  • - Scritto da: panda rossa
    >
    > Tu invece dov'eri?
    Ma come non lo sai?
    A cercare di fare girare prodotti Vmware sul raspberry con windoze 10.....
    Ogni tanto gli chiedo notizie su come va.... ma... sai com'è....
    non+autenticato
  • - Scritto da: panda rossa
    > - Scritto da: aphex_twin
    > > - Scritto da: panda rossa
    > > > Ti piacerebbe, ma non funziona mica
    > cosi'.
    > > > Il tema di oggi e': "I devices apple
    > sono
    > > buggati"
    > >
    > > Facile andare a scuola quando ci sono le tue
    > > materie preferite e nascondersi quando ci
    > sono
    > > quelle piú
    > > ostiche.
    > >
    > > R I D I C O L O
    >
    > Guarda che io sono su questo forum tutti i
    > giorni, altro che materie
    > ostiche.

    A buon intendir poche parole.

    Ma tanto fai finta (spero) di non arrivarci.
  • - Scritto da: panda rossa
    > - Scritto da: IridiumFX
    > > Diciamo che inviolabile non c'e' nulla. che
    > sia
    > > per ingegneria sociale (XCodeGhost) o per
    > > inettitudine ammessa e dichiarata (vedi
    > > link)
    > >
    > >
    > http://arstechnica.co.uk/security/2015/09/googles-
    > >
    > > se ora terminassimo col trollaggio ed ognuno
    > si
    > > godesse il proprio device, il mondo sarebbe
    > > migliore
    >
    > Ti piacerebbe, ma non funziona mica cosi'.
    > Il tema di oggi e': "I devices apple sono buggati"
    >
    > E tu hai solo due possibilita':
    > 1) Se sei un applefan vai a nasconderti dalla
    > vergogna
    > 2) Se non lo sei ti metti a sghignazzare e
    > sfottere quelli del punto
    > 1
    >
    > L'opzione "Si, ma anche altri smartphone hanno
    > dei bug" non
    > vale.

    No,
    il tema oggi è:
    "ZERODIUM concede a Apple di aver creato il sistema operativo mobile più sicuro in circolazione" Tanto che offrono soldi a chi ne scoverà... Quindi vatti a nascondere....Occhiolino
  • Spiegami solo a questo punto perché la NSA è così felice che si usi iOS (a te la ricerca su google).
    non+autenticato
  • http://securityzap.com/win-1-million-with-ios9-exp.../

    perchè allora vendere le informazioni a zerodium ? solo per farsi schedare ?
    non+autenticato
  • - Scritto da: prova123
    > http://securityzap.com/win-1-million-with-ios9-exp
    >
    > perchè allora vendere le informazioni a zerodium
    > ? solo per farsi schedare
    > ?
    Semplice perchè anche loro volion fare prova123 123prova.....
    Ma solo per prova eh?
    Rotola dal ridereRotola dal ridere
    non+autenticato
  • Se i cyberpusher diventano arroganti non è secondo me colpa dell'informatica, ma è a causa di un problema sociale.

    Per me i sistemi operativi e compagnia bella sono solo uno strumento, non sono la mia felicità o il mio nervosismo.
  • - Scritto da: SalvatoreGX
    > Per me i sistemi operativi e compagnia bella sono
    > solo uno strumento, non sono la mia felicità o
    > il mio nervosismo.

    Una domanda: ma difendevi strenuamente il brand-preferito anche quando avevi il terminale android, o hai cominciato a farlo da quando sei un soddisfattissimo utente apple?
  • - Scritto da: bradipao
    > - Scritto da: SalvatoreGX
    > > Per me i sistemi operativi e compagnia bella
    > sono
    > > solo uno strumento, non sono la mia felicità o
    > > il mio nervosismo.
    >
    > Una domanda: ma difendevi strenuamente il
    > brand-preferito anche quando avevi il terminale
    > android, o hai cominciato a farlo da quando sei
    > un soddisfattissimo utente
    > apple?


    Quando avevo andorid, sputavo addosso agli utenti apple.... Però mi son dovuto ricredere.
  • - Scritto da: SalvatoreGX

    >
    > Quando avevo andorid, sputavo addosso agli utenti
    > apple....

    Benissimo.
    Quindi non te la starai mica prendendo se noi adesso sputiamo in faccia a te.
  • - Scritto da: panda rossa
    > - Scritto da: SalvatoreGX
    >
    > >
    > > Quando avevo andorid, sputavo addosso agli
    > utenti
    > > apple....
    >
    > Benissimo.
    > Quindi non te la starai mica prendendo se noi
    > adesso sputiamo in faccia a
    > te.

    Ci manchrebbe, fai pure, se ti rende la giornata più leggera, sono contento per teOcchiolino
  • - Scritto da: bradipao
    > - Scritto da: SalvatoreGX
    > > Per me i sistemi operativi e compagnia bella
    > sono
    > > solo uno strumento, non sono la mia felicità o
    > > il mio nervosismo.
    >
    > Una domanda: ma difendevi strenuamente il
    > brand-preferito anche quando avevi il terminale
    > android, o hai cominciato a farlo da quando sei
    > un soddisfattissimo utente
    > apple?


    Ti rispondo meglio,
    Io apprezzavo ed apprezzo molto android anche adesso.
    Vuoi mettere che io che sviluppo in java, mi facevo le mie piccole app di utility e le installavo tramite usb? mentre con iOS non potrei farlo ( o almeno penso ).

    Il mio "difendere" iOS non è a discapito di android, ma è per dirti che iOS contiene qualità, sia lato software sia lato di materiali.
    Rimane solo la mia opinione, non è detto che sia unica verità.
  • - Scritto da: SalvatoreGX
    > - Scritto da: bradipao
    > > - Scritto da: SalvatoreGX
    > > > Per me i sistemi operativi e compagnia
    > bella
    > > sono
    > > > solo uno strumento, non sono la mia
    > felicità
    > o
    > > > il mio nervosismo.
    > >
    > > Una domanda: ma difendevi strenuamente il
    > > brand-preferito anche quando avevi il
    > terminale
    > > android, o hai cominciato a farlo da quando
    > sei
    > > un soddisfattissimo utente
    > > apple?
    >
    >
    > Ti rispondo meglio,
    > Io apprezzavo ed apprezzo molto android anche
    > adesso.
    > Vuoi mettere che io che sviluppo in java, mi
    > facevo le mie piccole app di utility e le
    > installavo tramite usb? mentre con iOS non potrei
    > farlo ( o almeno penso
    > ).

    Non puoi. Non vogliono. Non te lo lasciano proprio fare.

    >
    > Il mio "difendere" iOS non è a discapito di
    > android, ma è per dirti che iOS contiene qualità,
    > sia lato software sia lato di
    > materiali.

    Anche per via della forma (quei bellissimi angoli stondati), e per il colore, cosi' bianco, e per quel logo cosi' trendy...

    > Rimane solo la mia opinione, non è detto che sia
    > unica
    > verità.

    Non lo e' proprio.
    E' solo l'opinione di un indottrinato fanboy e quindi assolutamente indegna di ogni considerazione.
  • - Scritto da: panda rossa
    > - Scritto da: SalvatoreGX
    > > - Scritto da: bradipao
    > > > - Scritto da: SalvatoreGX
    > > > > Per me i sistemi operativi e
    > compagnia
    > > bella
    > > > sono
    > > > > solo uno strumento, non sono la
    > mia
    > > felicità
    > > o
    > > > > il mio nervosismo.
    > > >
    > > > Una domanda: ma difendevi strenuamente
    > il
    > > > brand-preferito anche quando avevi il
    > > terminale
    > > > android, o hai cominciato a farlo da
    > quando
    > > sei
    > > > un soddisfattissimo utente
    > > > apple?
    > >
    > >
    > > Ti rispondo meglio,
    > > Io apprezzavo ed apprezzo molto android anche
    > > adesso.
    > > Vuoi mettere che io che sviluppo in java, mi
    > > facevo le mie piccole app di utility e le
    > > installavo tramite usb? mentre con iOS non
    > potrei
    > > farlo ( o almeno penso
    > > ).
    >
    > Non puoi. Non vogliono. Non te lo lasciano
    > proprio
    > fare.
    >
    > >
    > > Il mio "difendere" iOS non è a discapito di
    > > android, ma è per dirti che iOS contiene
    > qualità,
    > > sia lato software sia lato di
    > > materiali.
    >
    > Anche per via della forma (quei bellissimi angoli
    > stondati), e per il colore, cosi' bianco, e per
    > quel logo cosi'
    > trendy...
    >
    > > Rimane solo la mia opinione, non è detto che
    > sia
    > > unica
    > > verità.
    >
    > Non lo e' proprio.
    > E' solo l'opinione di un indottrinato fanboy e
    > quindi assolutamente indegna di ogni
    > considerazione.

    :D
  • - Scritto da: panda rossa

    > Anche per via della forma (quei bellissimi angoli
    > stondati), e per il colore, cosi' bianco, e per
    > quel logo cosi'
    > trendy...
    >

    Mi stavi facendo morire di orgasmo!!!A bocca apertaA bocca aperta
  • - Scritto da: panda rossa
    > E' solo l'opinione di un indottrinato fanboy e
    > quindi assolutamente indegna di ogni
    > considerazione.

    Sei proprio una bella persona. Deluso
  • - Scritto da: panda rossa
    > > Vuoi mettere che io che sviluppo in java, mi
    > > facevo le mie piccole app di utility e le
    > > installavo tramite usb? mentre con iOS non
    > potrei
    > > farlo ( o almeno penso
    > > ).
    >
    > Non puoi. Non vogliono. Non te lo lasciano
    > proprio fare.

    New Features in Xcode 7

    Free On-Device Development

    Now everyone can run and test their own app on a device—for free. You can run and debug your own creations on a Mac, iPhone, iPad, iPod touch, or Apple Watch without any fees, and no programs to join. All you need to do is enter your free Apple ID into Xcode. You can even use the same Apple ID you already use for the App Store or iTunes. Once you’ve perfected your app the Apple Developer Program can help you get it on the App Store.

    Fonte:
    https://developer.apple.com/library/prerelease/ios...
    mura
    1707
  • Visto quella specie di gente che nell'altro post riguardo iOS9 ne hanno sparate a bizeffe.... Vedete.... adesso avete la possibilità di guadagnare soldi!
    quel sistema bacato di cui avete parlato.... Ditemi quanti bug riuscite a trovare... Vuoi vedere che diventate milionari!
  • - Scritto da: SalvatoreGX
    > Visto quella specie di gente che nell'altro post
    > riguardo iOS9 ne hanno sparate a bizeffe....
    > Vedete.... adesso avete la possibilità di
    > guadagnare
    > soldi!
    > quel sistema bacato di cui avete parlato....
    > Ditemi quanti bug riuscite a trovare... Vuoi
    > vedere che diventate
    > milionari!
    a parte che a te sfugge "il teorema del carrello" (aime' ben interpretato dalla faccenda xcodeghost ...) il fatto che i cyberpusher diventino sempre piu' arroganti e aggressivi, dovrebbe preoccuparti... non renderti felice..
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: SalvatoreGX
    > > Visto quella specie di gente che nell'altro post
    > > riguardo iOS9 ne hanno sparate a bizeffe....
    > > Vedete.... adesso avete la possibilità di
    > > guadagnare
    > > soldi!
    > > quel sistema bacato di cui avete parlato....
    > > Ditemi quanti bug riuscite a trovare... Vuoi
    > > vedere che diventate
    > > milionari!
    > a parte che a te sfugge "il teorema del carrello"
    > (aime' ben interpretato dalla faccenda xcodeghost
    > ...) il fatto che i cyberpusher diventino sempre
    > piu' arroganti e aggressivi, dovrebbe
    > preoccuparti... non renderti
    > felice..

    Se i cyberpusher diventano arroganti non è secondo me colpa dell'informatica, ma è a causa di un problema sociale.

    Per me i sistemi operativi e compagnia bella sono solo uno strumento, non sono la mia felicità o il mio nervosismo.
  • No, non hai capito: il sistema sicuro non esiste.
    Al primo JB di iOS scatta il milione?
    non+autenticato
  • - Scritto da: Jaggguar
    > No, non hai capito: il sistema sicuro non esiste.
    > Al primo JB di iOS scatta il milione?

    L'articolo dice tutto, sempre se non è una bufala.
  • Anche l'articolo delle app nello store infette è lì da vedere.
    Quindi?
    non+autenticato
  • - Scritto da: Jaggguar
    > Anche l'articolo delle app nello store infette è
    > lì da
    > vedere.
    > Quindi?

    Comunque sarà un caso, ma tutti quei popup di pubblicità e software secondari che si installavano su android, su iPhone non succede.
    Oltre quello, quando installi una app su android, devi accettare le sue condizioni, ma non puoi discernere.... O ti prendi tutto il pacchetto o niente. Invece su iPhone, app x app puoi scegliere a cosa dare accesso e a cosa no ( gps,microfono,rete cell, wifi, calendario, contatti, ecc ecc) anche contro il "volere" della app.
    Mi sembra un passo avanti riguardo la privacyOcchiolino
  • - Scritto da: SalvatoreGX
    > - Scritto da: Jaggguar
    > > Anche l'articolo delle app nello store
    > infette
    > è
    > > lì da
    > > vedere.
    > > Quindi?
    >
    > Comunque sarà un caso, ma tutti quei popup di
    > pubblicità e software secondari che si
    > installavano su android, su iPhone non
    > succede.

    ??? Che diavolo stai dicendo Willis ????
    Se l'applicazione ha la pubblicità Android mostra la pubblicità. Altrimenti compri la versione full.
    Per il resto le sorprese stanno a zero.

    > Oltre quello, quando installi una app su android,
    > devi accettare le sue condizioni, ma non puoi
    > discernere....

    Root e fai quello che vuoi.
    Ma comunque su iOS è lo stesso, salvo che te lo dice man mano che lo fa. Mai fatto un wireshark su traffico iOS?

    > O ti prendi tutto il pacchetto o
    > niente. Invece su iPhone, app x app puoi
    > scegliere a cosa dare accesso e a cosa no (
    > gps,microfono,rete cell, wifi, calendario,
    > contatti, ecc ecc) anche contro il "volere" della
    > app.

    Su Android se vuoi fai lo stesso con il root. Ma anche qui stanno cambiando.

    > Mi sembra un passo avanti riguardo la privacyOcchiolino

    A me sembra uno indietro ma ora non ho molto tempo per spiegarti. Usa Wireshark e divertitiOcchiolino Guarda gli ip.
    non+autenticato
  • Rettifico: sulla Cyano sul mio OpO posso cambiare app per app cosa può fare o meno.

    Boh, che asino, non me ne ero accorto.
    non+autenticato
  • - Scritto da: Jaggguar
    > Rettifico: sulla Cyano sul mio OpO posso cambiare
    > app per app cosa può fare o
    > meno.
    >
    > Boh, che asino, non me ne ero accorto.


    Si SI .... Io diffido l'utilizzare software fatto da privati... Nessuno fa niente per niente.
  • - Scritto da: SalvatoreGX
    > - Scritto da: Jaggguar
    > > Rettifico: sulla Cyano sul mio OpO posso
    > cambiare
    > > app per app cosa può fare o
    > > meno.
    > >
    > > Boh, che asino, non me ne ero accorto.
    >
    >
    > Si SI .... Io diffido l'utilizzare software fatto
    > da privati... Nessuno fa niente per niente.

    Infatti Apple è notoriamente un'azienda statale Rotola dal ridere Rotola dal ridere Rotola dal ridere
    Izio01
    4064