ZERODIUM vuole “acquisire” bug di alto profilo per iOS9, e per farlo è disposta a pagare un milione di dollari per singola vulnerabilità fino a un massimo di tre milioni. La startup sostiene di essere interessata alla ricerca informatica indipendente , quindi l’eventuale scoperta di bug pericolosi dovrebbe (in teoria) favorire i “buoni” e le aziende produttrici piuttosto che i cyber-criminali.
Nell’ annunciare il suo programma di taglie milionario per le falle su iOS9 , ZERODIUM concede a Apple di aver creato il sistema operativo mobile più sicuro in circolazione: sicuro “non significa iviolabile”, avverte la società, ma solo che le risorse necessarie e la complessità dello sfruttamento dei bug sono le più dispendiose del mercato.
I denari offerti da ZERODIUM sarebbero quindi ben spesi, se poi si considera che Apple già si vanta della percentuale di installazioni da parte di fan, con un 50 per cento di dispositivi compatibili già aggiornati alla nuova release .
La startup si impegna dunque a consegnare il fatidico milione a un singolo ricercatore o un team di ricercatori che riusciranno a fornire i dettagli di un attacco con le seguenti caratteristiche: il bug dev’essere sfruttabile a partire da una pagina Web esterna caricata su Safari o Chrome nella loro configurazione di default, da una pagina accessibile per mezzo di una app di terze parti, o da un messaggio testuale o audiovisivo consegnato tramite servizi SMS/MMS.
La taglia offerta da ZERODIUM sarà valida fino al prossimo 31 ottobre , o comunque fino all’esaurimento dei tre milioni di dollari messi in palio dalla società: gli attacchi che richiedano accesso fisico, connessioni a corto raggio (Bluetooth, NFC) o baseband non saranno idonei a partecipare al programma, anche se ZERODIUM potrebbe decidere di acquistare in ogni caso i bug per un prezzo sicuramente inferiore.
Le vulnerabilità dei gadget prodotti da Apple fanno gola ai “commercianti” di bug, e non a caso Cupertino ha deciso di aspettare alcuni giorni prima di rilasciare la seconda versione del suo OS per smartwatch: WatchOS 2 corregge i bug emersi all’ultimo momento e include, tra le novità più significative, la capacità di far girare app native oltre a quella di “replicare” il funzionamento delle app fatte girare sul cellulare.
Alfonso Maruccia