Компания Zerodium намерена купить инструмент для взлома iOS 9 за $1 млн

22 сентября 2015 |

Уже ни для кого не секрет, что хакеры продают инструменты, также известные как эксплоиты к уязвимостям нулевого дня, различным правительственным спецслужбам. Как правило, такая торговля осуществляется втайне, однако компания Zerodium, специализирующаяся на покупке эксплоитов и уязвимостей, пошла по другому пути. Zerodium опубликовала информацию о новой программе, в рамках которой предложила $1 млн за эксплоит для iOS 9.

ios 9 event

Компания сообщила, что готова заплатить семизначную сумму за хакерскую технику, позволяющую удаленно получить полный контроль над iOS-девайсом через веб-браузер, уязвимое приложение на устройстве или текстовое сообщение. В компании заявляют, что готовы заплатить в общей сложности $3 млн исследователям, разработавшим эксплоит.

«В настоящее время Apple iOS является самой безопасной среди мобильных ОС благодаря реализации эффективных мер по усовершенствованию защиты. Тем не менее, безопасный – не значит не подверженный взлому. Это всего лишь означает, что на текущий момент эксплуатация уязвимостей в iOS является самой дорогостоящей», – гласит сообщение на официальном сайте Zerodium.

Стартап Zerodium в июле этого года учредил Чауки Бекрар, товарищ, хорошо известный в индустрии торговли уязвимостями и эксплоитами. Он также является основателем компании Vupen, которая не скрывает тот факт, что занимается разработкой методов взлома популярного программного обеспечения и продает их правительственным спецслужбам во всем мире.

«Главной целью Zerodium является приобретение наиболее совершенных эксплоитов для уязвимостей нулевого дня, а также уязвимостей высокой степени опасности, разработанных талантливыми исследователями во всем мире», – отметил Беркар в интервью изданию Wired.

Бекрар не испытывает мук совести по поводу того факта, что его компания процветает на цифровой ненадежности. Vupen не только не информирует производителей ПО о содержащихся в продуктах брешах, но использует их для создания хакерских техник, которые затем продает многочисленным правительственным клиентам. Новая программа по поиску уязвимостей в iOS 9 также не является исключением: в числе условий содержится пункт, запрещающий информировать Apple или общественность о найденных брешах, что позволит клиентам компании тайно их эксплуатировать.

В прошлом покупателями Vupen становились Агентство национальной безопасности США, страны-участницы НАТО и их партнеры, имена которых предприниматель отказывается раскрывать. Бекрар не предоставляет информацию о том, кто может стать потенциальными клиентами, но на сайте Zerodium они описываются как «крупные оборонные, технологические и финансовые корпорации, а также правительственные организации, которым требуются специфические возможности в сфере кибербезопасности».

Но даже Бекрар признается, что не всегда знает, в чьих руках оказываются разработанные Vupen инструменты, или как покупатели используют их. В 2012 году Бекрар заявил: «Мы стараемся гарантировать, что инструмент не окажется за пределами агентства. Но если ты продаешь кому-либо оружие, нельзя поручиться, что оно не будет перепродано».

Защитники безопасности и неприкосновенности персональных данных высказались более просто. Главный научно-технический работник Американского союза защиты гражданских свобод Крис Согоян назвал Бекрара «современным торговцем смертью», который продает «пули для кибервойны». После заключения сделки, утверждает Согоян, Vupen больше не волнует, где могут оказаться эксплоиты, или возможность их использования репрессивными правительствами для слежки за гражданами. «Vupen не курсе, как используются ее эксплоиты, да она, наверное, и не хочет этого знать до тех пор, пока поступает оплата», – отметил Согоян.

После того, как Vupen отказалась предоставить одну из своих наработок Google, специалист компании Джастин Шу назвал Бекрара «оппортунистом с отсутствием этических принципов».

iphone 6s live photoФактически, спорный договор, известный как Вассенаарские соглашения, регулирующий распространение эксплоитов к уязвимостям нулевого дня между государствами, расценивается наблюдателями как реакция на действия компаний наподобие Vupen. Однако сам Бекрар не считает соглашение препятствием для своего нового бизнеса, указывая при этом, что в США оно пока не действует.

«Мы будет следовать всем соответствующим положениям, так же, как и другие компании по безопасности. Вассенаарские соглашения прибавляют бумажной волокиты, но не препятствует компаниям в ведении бизнеса», – говорит Бекрар.

Zerodium, безусловно, не единственная компания, заинтересованная в эксплоитах для iOS. Такие инструменты представляют огромную ценность для правительственных спецслужб, во многом из-за надежных мер защиты, реализованных Apple. В течение восьми лет с момента релиза первого iPhone, взлом iOS вне контролируемой среды был достаточно редким явлением.

В 2012 году журналист Wired Энди Гринберг составил примерный прайс-лист эксплоитов для программного обеспечения, основанный на комментариях специалистов в области уязвимостей нулевого дня. На тот момент стоимость эксплоита для iOS составляла $250 тыс. – сумма, намного превышающая цену инструментов для взлома Android, за которые просили всего $60 тыс. В следующем году, по данным The New York Times, цена эксплоита для iOS возросла до $500 тыс.

Беспрецедентная программа по поиску уязвимостей, организованная Zerodium, может наглядно продемонстрировать, насколько сложно «пробить» защиту Apple. Тем не менее, внушительная награда в $1 млн наверняка подстегнет к действиям огромное количество хакеров, желающих испытать свои силы.

Смотрите также: