Dusøren skal være en av de største noensinne innenfor sikkerhetsbransjen. (Bilde: Zerodium)

sikkerhet

Lover en million dollar for iOS-hack

Men hvor havner resultatene?

Sikkerhetsselskapet Zerodium skriver i sin blogg at Apples iOS er for tiden den sikreste mobilplattformen takket være gode sikkerhetsrutiner og effektive systemer for å begrense angrep, men man skal ikke føle seg for trygg. Ingen sikkerhetsrutiner er ugjennomtrengelige, de betyr bare at iOS er for tiden det vanskeligste systemet å bryte seg inn i, mener selskapet.

Dermed frister Zerodium sikkerhetsforskere, utviklere og andre eksperter med en hel million dollar – hver person eller team vil få utbetalt denne summen (potten er på totalt tre millioner, som skal fordeles mellom tre vinnere), hvis de klarer å vise en nettleser-basert «jailbreak» av iOS 9 som ikke innebærer fysisk tilkobling, og som er tidligere ukjent.

Les også: Stort angrep på App Store

Angrepet skal altså være tidligere upublisert og skal forbigå alle sikkerhetsrutiner i iOS 9. Det skal gjøre det mulig for angriperen å installere en fremmed applikasjon på en fullt oppdatert enhet med iOS 9. Og angrepet skal utføres via en nettside (gjennom Safari eller Chrome), via en nettside som påvirker enhver applikasjon som kan nås gjennom nettleseren, eller via en SMS- eller MMS-melding.

Hele prosessen skal kunne utføres uten at mottakeren oppdager det, og uten at vedkommende utfører andre aktiviteter enn å lese en melding eller besøker en nettside. Angrep via Bluetooth, NFC eller fysisk tilgang omfattes ikke av dusøren.

Zerodium vil heller ikke akseptere delvise eller ikke fullstendig gjennomførte angrep.

Mye penger

Ifølge selskapet er dusøren den største noensinne innen sikkerhetsbransjen, og fristen for å bidra er 31. oktober – selv om programmet kan avsluttes før hvis alle de tre millionene blir utbetalt før fristen.

Les også: Google-ansatte utfordrer Android-sikkerheten

Det er en annen side av historien. Magasinet Wired skriver at mannen bak selskapet Zerodium er Chaouki Bekrar, som tidligere har drevet sikkerhetsselskaper som har solgt hackeverktøy til regjeringer, bedrifter og organisasjoner. Det er også mye som tyder på at resultatene av dusøren vil benyttes ikke til å gjøre iOS 9 sikrere, men å la Zerodiums kunder bruke teknikkene i all hemmelighet.

Bekrars tidligere kunder skal blant annet være NSA samt flere uspesifiserte NATO-land.

Dusøren kan altså kvalifiseres som kontroversiell – Bekrar har tidligere blitt kalt en opportunist og en moderne våpenhandler. Det vil altså være interessant å se hva slags bidragsytere vil kaste seg over muligheten til å vinne en million dollar mot å utvikle noe som kan resultere i moralsk tvilsomme verktøy.

Til toppen