Hackere gør krav på en million dollars i dusør for at have kompromitteret det nyeste iOS

Et hold af hackere har vundet en konkurrence om en million dollars, som blev udloddet til den, der trådløst kunne omgå Apples sikkerhedsforanstaltninger i den nyeste udgave af iOS. Men zero day-svagheden vil formentlig ikke blive offentliggjort.

Det er lykkedes en gruppe af hackere at omgå Apples hædrede sikkerhed i iOS 9.1 og 9.2 beta - de har haft held til at jailbreake en iPhone uden at have fysisk adgang til enheden. Det skriver Motherboard.

Dermed kan gruppen, hvis identitet indtil videre er hemmeligholdt, helt legitimt gøre krav på én million dollars, som er præmiesummen i en konkurrence udskrevet af firmaet Zerodium, som lever af at videresælge højt profilerede zero day-sårbarheder.

Firmaets grundlægger, Chaouki Bekrar, fortæller til Motherboard, at den vindende gruppe fandt ‘en række sårbarheder’ i Chrome og iOS, som kunne omgå ‘næsten alle sikkerhedsforanstaltninger’ og opnå ‘et fjernkontrolleret og fuldt ud browser-baseret jailbreak’.

Læs også: Private bug bounty-programmer er trængte: Stater vil betale millioner for de gode zero day-sårbarheder

De nærmere detaljer omkring den aktuelle sårbarhed, som har alvorlige implikationer for sikkerheden i millioner af iPhones verden over, vil dog ikke blive gjort offentligheden bekendt, men snarere havne i hænderne på den politimyndighed eller efterretningstjeneste, der byder højest for den viden, Zerodium nu ligger inde med.

Flere sikkerhedstestere sætter ligeledes spørgsmålstegn ved, om Zerodium har tænkt sig at overholde sin del af aftalen over for hackerne, som må betegnes som greyhats, da de har delt deres arbejde med Zerodium uden at advisere Apple.

Læs også: Hullet webserver hos CSC delte virtuel server med Schengen-register

Apple selv har ikke ønsket at kommentere historien, men skal man tro Chaouki Bekrar, vil firmaet have fundet og rettet sårbarhederne inden for ‘få uger til en måneds tid’.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Nikolaj Bech

Lyder ikke særligt whitehat agtigt. De videresælger til højest bydende og sætter alle andre (dem med iOS) i farezonen. Hvis det ikke er blackhat ved jeg ikke hvad er.

Det står ikke entydigt, men umiddelbart lader det til at heller ikke Apple er blevet informeret, de skal 'have fundet og rettet sårbarheden'.

  • 6
  • 0
Jakob Damkjær

Hvorfor dog ikke ? De har mørkesorte hatte på da de ikke har informeret vendoren.

At informere vendoren er basiskravet for at hatten man har på kan være andet en sort til en meget mørk mørkegrå...

At forskere har solgt deres sårbarhed til et firma der sælger til højestbydende uden at informere vendoren stiller alvorlige spørgsmålstegn ved "forskerenes" etik og moral...

  • 4
  • 0
Christopher Bonitz

De er Grey hat.

White hat: A white hat hacker breaks security for non-malicious reasons
Black hat: A black hat hacker violates computer security for little reason beyond maliciousness or personal gain

Grey hat: A grey hat hacker lies between a black hat and a white hat hacker.
https://en.wikipedia.org/wiki/Hacker_%28computer_security%29#White_hat

Grunden er at de ikke har benyttet sårbarhederne til at begå kriminalitet, hvilket er det black hat gør. Du er ikke lovmæssigt forpligtet til at fortælle din vendor at der er et problem med hans/hendes produkt. (med mindre det står i en eller anden kontrakt du har sagt ja til)

Men da de faktisk får "personal gain" ud af det, så er deres hensigt heller ikke "hvid"
ærgod... grey.

  • 2
  • 0
Nikolaj Bech

Det er muligt at dem der fandt sårbarheden ikke rammer alle karakteristika for en blackhat, men passer fint med den om ikke at informere offentligheden eller vendor. Dem der formentlig ender med at købe vil være blackhats. Eller er der nogen der ligger inde med 1.000.000$ plus fortjeneste, der vil gøre en god gerning?

Men med priser på i denne størrelses orden for zeroday sårbarheder er det nok ikke svært at lade sig friste.

  • 1
  • 0
Martin Bernth Editor

Hej Nikolaj og andre i debatten,

I har som sædvanlig ret - 'whitehats' er nok at give dem for meget credit, og jeg må tilstå, at det var et ord jeg smed på i sidste øjeblik, uden helt at kunne forklare hvorfor. Måske fordi, hackerne i mit hovede blot havde deltaget i og vundet en (legitim?) konkurrence.

Men måske vi så - jf. summen af ovenstående debat - kan blive enige om at ende på 'greyhats'? For så retter jeg lige teksten til.

Tak for kommentarerne!

Mvh. Martin, Version2.

  • 2
  • 0
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

Det er lykkedes en gruppe af hackere at omgå Apples hædrede sikkerhed i iOS 9.1 og 9.2 beta - de har haft held til at jailbreake en iPhone uden at have fysisk adgang til enheden. Det skriver Motherboard. Dermed kan gruppen, hvis identitet indtil videre er hemmeligholdt, helt legitimt gøre krav på én
million dollars, som er præmiesummen i en konkurrence udskrevet af firmaet Zerodium, som lever af at videresælge højt profilerede zero day-sårbarheder. Firmaets grundlægger, Chaouki Bekrar, fortæller til Motherboard, at den vindende gruppe fandt ‘en række sårbarheder’ i Chrome og iOS, som kunne omgå ‘næsten alle sikkerhedsforanstaltninger’ og opnå ‘et fjernkontrolleret og fuldt ud browser-ba...