Az Apple 2016 augusztusában jelentette be, hogy elindítja a bug-vadász programját, és végre, a többi céghez hasonlóan, magas díjakat tűz ki a durva biztonsági rések megtalálóinak. Az elképzelés szerint az etikus hackerek így sok-sok munkaórát ölnek majd abba, hogy feltörjék a biztonságosnak hitt rendszereket, és ha sikerrel járnak, az operációs rendszer biztonságosabb, a hacker pedig gazdagabb lesz. Ez a deal, papíron.
Csakhogy ennyi idővel a start után sincs egyetlen hír sem arról, hogy bárki átvett volna jutalmat az Apple-től, amivel azért valamilyen közösségi oldalon vagy fórumon egy ügyeskezű biztonsági szakember tuti eldicsekedne. Már ha nincs ez megtiltva a pénzt bezsebelő hackereknek. Az is lehet.
A Motherboard azonban utánajárt, és kiderült egy érdekes tény ezzel kapcsolatban:
Az iOS bugok túlságosan értékesek ahhoz, hogy az Apple-nek adják el őket.
Az Apple jelenleg ilyen pénzeket fizet az egyes kritikus hibák feltárásaiért:
Ami soknak tűnik, de nem az. Egy Zerodium nevű cég, aki exploitok vételével és eladásával foglalkozik, másfél millió dollárt ajánl az iOS készüléket jailbreakelő megoldásért, az Exodus Intelligence 500 ezret kínál ugyanezért. Ehelyett a 200 ezer dollár karcsúnak tűnik.
Mások azt állítják, hülyék lennének eladni a “saját bugjaikat” az Apple-nek, hiszen azzal a saját munkájukat nehezítenék a későbbiekben.
Ahogy most kinéz a dolog, az Apple nem kínál elég pénzt ahhoz, hogy a bugokkal dolgozó hackereknek megérje a bejelentésekre hajtani, a kifejezetten bugok megtalálására és eladására szakosodottaknak pedig máshol több pénzt kínálnak. Az Apple az árazásával annyit ér el, hogy a nagyon-nagyon lelkiismeretes, a pénztől kissé megcsömörlött hackerek talán átadják nekik a hibákat, ha már nincs vele dolguk.
szucsadam
2017.02.03. 07:18
Címkék: hack fbi
Az Apple-re a San Bernardino-i lövöldözés kapcsán helyezett nyomást korábban az FBI. Azt kérték, a cég fejlesszen ki egy saját védelmi rendszerét feltörő programot, amivel az lövöldöző iPhone 5c-jéről szerezhetnek adatokat, és amit időnként az FBI kérdésére és bírói végzésre vethetnek majd be. Az Apple nem volt hajlandó a saját biztonsági rendszeréhez szabványosított hacking toolt létrehozni, ezért az FBI végül egy izraeli biztonsági céget, a Cellebrite-et bízta meg a feladattal. Ők végül lefejlesztettek egy programot, amivel adatokat szereztek meg a lövöldöző lezárt telefonjáról.
Na, ezt a programot töltötte le a Cellebrite szervereiről most egy hacker, hogy bebizonyítsa: ha egyszer lefejlesztesz egy programot, az előbb-utóbb kikerül. Hiába biztonságtechnikával foglalkozó cég, a szervereire akkor is bejuthat kívülről egy hacker, és megszerezheti a fájlokat. A Cellebrite javára legyen mondva, a 900 gigabájtnyi ellopott információ titkosítva volt, de a hacker ezt is feltörte, a régebbi iPhone-ok, androidos telók és BlackBerryk feltörésére fejlesztett szoftver egy rakás fájlját publikussá tette. Magát az eszközt nem.
A Cellebrite megoldása egyébként nagyon hasonlított a jailbreak-közösség által használt eszközökhöz, a program nagy részét valószínűleg onnan nyúlták. A program csak az eszközök fizikai kapcsolódása esetén működik.
