Sikkerhetsselskapet Zerodium, som tidligere i år oppstod som en fugl føniks i asken etter det lett beryktede selskapet Vupen Security, lovet for halvannen måned siden tre premier på én million dollar til hver av den eller de som kunne demonstrere en jailbreak av iOS 9 uten å ha fysisk tilgang til enheten.
Bakgrunn: Lover en million dollar for iOS-hack
Via nettleser eller meldinger
I praksis ble det akseptert tre angrepsvektorer – via sårbarheter i nettleseren (Safari eller Chrome), via en webside som via nettleseren utnytter sårbarheter i en annen applikasjon, eller via tekstmelding eller multimediefil levert med SMS/MMS.
Fristen løp ut den 31. oktober. Mandag kunngjorde Zerodium på Twitter at det var blitt kåret en vinner.
I så fall er det første gang siden iOS 7 at noen har fått til det som kalles for «click-to-own» jailbreaking av iOS på over et år. Forrige gang var det iOS 7 som var berørt. Det nye angrepet skal fungerer til og med i iOS 9.2b.
Our iOS #0day bounty has expired & we have one winning team who made a remote browser-based iOS 9.1/9.2b #jailbreak (untethered). Congrats!
— Zerodium (@Zerodium) 2. november 2015
I et intervju med nettstedet Motherboard forteller Chaouki Bekrar, grunnlegger av Zerodium og tidligere CEO i Vupen, at angrepskoden utnytter flere sårbarheter, både i Chrome og iOS, men at selskapet fortsatt holder på med å teste om angrepskoden virkelig er kvalifisert til å utløse dusøren.
Ikke fri for sårbarheter: – Oppdater til iOS 9 nå!
Bløff?
Flere er skeptiske til hele konkurransen, og det på flere plan. Det ene er at så lenge Zerodium ikke forteller hvem som får eventuelt får dusøren, så kan det hele like gjerne være et PR-stunt, uten noen egentlig utbetaling av dusøren.
Skulle det likevel vise seg å være ekte vare, så er spørsmålet hva som vil skje med informasjonen om sårbarhetene. I likhet med Vupen, lever Zerodium av å selge slik informasjon til selskapets kunder gjennom en abonnementsordning.
På selskapet nettsted står at Zerodium-kundene er store bedrifter innen forsvar, teknologi og finans, som har behov for avansert nulldags-beskyttelse, samt statlige organisasjoner med behov for spesifikke eller skreddersydde evner innen kybersikkerhet.
De sistnevnte kan for eksempel være etterretnings- eller sikkerhetsorganisasjoner.
Les mer: NSA kjøpte sårbarheter fra Vupen
Sikkerhetsfiks?
Til Motherboard sier Bekrar at Apple trolig vil fjerne disse sårbarhetene innen noen få uker eller måneder, men også at Zerodiums kunder vil få mulighet å lære om sikkerheten i iOS, slik at de kan ta bedre avgjørelser når de skal velge enheter.
Sikkerhetsselskapet Sophos omtaler det hele på denne siden. De ser ikke bort fra at kundene til Zerodium er bundet av en taushetserklæring som hindrer dem i å fortelle Apple (og Google) om disse sårbarhetene, selv om de måtte ønske å gjøre det.
Men heller ikke Sophos avviser muligheten for at det hele kan være et iscenesatt stunt fra Zerodiums side.
Les også: Tysk etterretning vil kjøpe sårbarheter