黑客攻破苹果iOS9获得100万美元现金奖金

 

 

黑客攻破苹果iOS9获得100万美元现金奖金

 

苹果设备通常被认为很安全,很难被黑客攻破。但是有句话叫做“一切皆有可能”,而就在近期,一个黑客团队通过针对iOS9系统的完美越狱,而获得了另外一家公司提供的100万美元奖金。

 

今年9月,漏洞悬赏创业公司Zerodium启动一项挑战,该公司征集“针对苹果最新iOS 9系统和设备、基于浏览器的独家完美越狱”。这一挑战并于10月31日截止。

 

漏洞挑战赛一波三折

 

Zerodium(国外著名数据收集平台)要求挑战者提供的漏洞可以通过浏览器(Safari或Chrome)或文字/多媒体消息来使用。基于这样的漏洞,Zerodium可以获得完整的系统权限,并安装任何想要的应用。

 

这样的要求使挑战变得更复杂。一方面,最后一次远程越狱是在iOS 7上实现的,而黑客当时使用了不止一个漏洞。

 

上周末,有黑客成功做到了这一点,并获得了100万美元奖金。Zerodium发布Twitter消息称:“我们的iOS漏洞悬赏活动已到期,已经有一支胜出的团队,实现了基于浏览器的远程iOS 9.1/9.2b完美越狱。”

 

 

Zerodium创始人乔基·贝卡尔(Chaouki Bekrar)曾表示,该公司正在与两支团队沟通。这两支团队分别独立工作,但都遭遇了同一个无法攻克的问题。

 

举办方表示不会透漏相关细节

 

贝卡尔没有披露这两支团队的具体信息以及回复媒体相关细节。

 

乔基·贝卡尔(Chaouki Bekrar)在接受媒体采访时表示:


当得知破解成功消息的时候很兴奋,当时我们还正打算延长比赛时间。我们正在全力测试该漏洞,确保完全遵守比赛制定的规则流程。这次的比赛可能是苹果对于安全方面最好的广告宣传,同时证明了苹果移动设备注重安全是真实的,不只是宣传和营销手段。

从更高的层面来看,这一奖金数额意义不大。贝卡尔及其极富争议的公司可以将漏洞以更高的价格出售给需要这一信息的第三方。而通常只有出价高者才能得到这一漏洞信息。

 

同时比赛评审团表示目前不会公布参赛获胜队伍的名字,但评审团担忧比赛获胜队伍的名字会通过其它渠道泄露出去。

 

这不是闹着玩的。它严重威胁到iOS用户的安全。

 

对于那些没有意识到这些的人来说,这个远程越狱就不那么酷了。

 

恶意网络攻击和越狱的唯一区别是有效载荷——在目标系统上执行的代码。

 

传统的越狱过程通常是用于配置一个备选应用程序商店,但是在黑客或执法机构手中,同样的利用可以让他们拥有完整的权限来安装任何的应用程序,包括间谍软件,恶意软件或监视软件。

 

此外,我们知道Zerodium的母公司Vupen就基于这些bug来发展黑客技术,并且通常会将它们卖给多个政府客户。所以这家公司很有可能会将这个新发现和未披露的远程iOS 0-day越狱利用转售给客户,包括间谍机构,政府和执法机构。

 

现在让我们来看看,苹果安全团队将花费多长时间来找出软件内的这个开放的0-day漏洞,在事情变得更糟之前进行补救。



  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: