Zerodium ha annunciato l’assegnazione di uno dei suoi premi da 1 milione di dollari a un ignoto team di hacker che ha compromesso tutti i meccanismi di sicurezza di iOS, un risultato notevole che la società ora spera di trasformare in profitto con la commercializzazione del bug e relativo exploit per l’abuso da remoto.
Our iOS #0day bounty has expired & we have one winning team who made a remote browser-based iOS 9.1/9.2b #jailbreak (untethered). Congrats!
– Zerodium (@Zerodium) 2 Novembre 2015
L’assegnazione della “taglia” milionaria arriva quasi fuori tempo massimo rispetto ai termini annunciati lo scorso settembre , e per Zerodium rappresenta un esborso che è un terzo di quello stanziato per gli smanettoni più intraprendenti in circolazione.
Le molteplici vulnerabilità scovate dagli hacker su Chrome e iOS 9 permettono di bypassare “quasi tutte le misure di mitigazione” degli attacchi implementate da Apple con una semplice visita a un sito Web malevolo, ha spiegato Zerodium, e porta allo sblocco totale del terminale iOS con tanto di installazione di una app malevola.
Un’altra potenziale taglia milionaria, questa volta ad opera del team cinese Pangu, non è stata assegnata perché la procedura del jailbreak era già stata resa nota pubblicamente e non era progettata per funzionare da remoto tramite browser Web.
Zerodium ha pagato un prezzo salato per acquisire i diritti di “esclusiva” su una pericolosa serie di vulnerabilità in iOS+Chrome, ma le intenzioni sono ovviamente quelle di far fruttare a dovere l’investimento: il modello di business della società consiste nella vendita di falle ed exploit a organizzazioni governative e forze dell’ordine, ambito in cui le autorità sono alla caccia costante di “grimaldelli” da usare per accedere ai dati che gli utenti salvano sui gadget mobile; un fatto vero soprattutto negli USA .
Alfonso Maruccia