iPhone/iPad用家注意︰價值100萬美元的iOS漏洞

iPhone/iPad用家注意︰價值100萬美元的iOS漏洞
Photo Credit: Faris Algosaibi, CC BY 2.0

我們想讓你知道的是

專門收購軟件漏洞的Zerodium宣佈,有黑客成功找到蘋果公司最新版iOS 9的漏洞,將獲得100萬美元獎金。由於Zerodium打算從中獲利,漏洞或會以高價賣出,影響一眾iPhone/iPad用家。

今年9月的時候,專門收購軟件漏洞的公司Zerodium懸紅100萬美元,只要在10月31日前找到最新的iOS 9漏洞,並符合其要求,便能夠獲得獎金。昨日Zerodium公佈,有一隊黑客完全符合要求,將獲百萬美元獎金。

Zerodium的要求極之嚴苛,黑客要獲得100萬美元的話,必須成功展示「遙距、可靠及秘密」地避過iOS的防禦機制,在已更新的iOS裝置中安裝程式。而且攻擊過程只能靠用家瀏覽網頁或閱讀短訊/多媒體短訊,不能使用其他方式。測試用的瀏覽器,亦只限預載的Safari或Google Chrome,並用上預設的設定。

此外,攻擊必須能在以下機款進行︰

  • iPhone 6s / iPhone 6s Plus / iPhone 6 / iPhone 6 Plus
  • iPhone 5 / iPhone 5c / iPhone 5s
  • iPad Air 2 / iPad Air / iPad (4rd generation) / iPad (3th generation) / iPad mini 4 / iPad mini 2

根據Zerodium創辦人Chaouki Bekrar所言,有兩隊黑客嘗試領取獎金,但最終只得一隊演示他們有完整攻擊及遙距的攻擊手法,另一隊未能完全成功,或只能領取部份獎金。

販賣漏洞的公司

Bekrar表示,Zerodium不會即時向蘋果公司報告此漏洞,可能會在遲一點的時間,把攻擊的細節告訴蘋果的工程師,讓他們研究如何修補。

Zerodium在今年7月成立,創辦人Bekrar此前曾創立另一家網絡保安公司Vupen。Vupen曾多次在黑客比賽Pwn2Own中,成功演示各種攻擊而獲獎。

在2012年的Pwn2Own中,Vupen成功繞過Google Chrome的防禦及贏得6萬美元的獎金,但拒絕把攻擊方法告訴Google。Bekrar當時表示︰「我們不會把這秘密分享給Google,100萬美元也不賣。我們不想給Google任何可以修補漏洞的資訊,希望把它留給我們的顧客」。

事實上,Vupen是一所以販賣攻擊手法營運的公司,僅是訂閱費用——能夠優先購買攻擊手法——已高達每年10萬美元,客戶包括美國的國家安全局(NSA)、德國的聯邦情報局(BND)以及備受批評的黑客公司Hacking Team

Vupen於今年5月關閉,2個月後Bekrar就創立了Zerodium。

Bekrar回應時表示,這個價值100萬美元的iOS漏洞,「可能」只會售予美國的客戶。而且他開設的兩家公司並沒有任何犯法勾當,因為目前在美國販賣這類攻擊、入侵的軟件並不犯法。他又說︰「本來我們不打算公佈任何結果,但我們希望讓人知道iOS的保安措施雖然非常強,卻不是毫無破綻。」

所以,各位iOS 9的用家得小心了︰可能不慎打開訊息、連結時,你的iPhone或iPad便會偷偷安裝惡意程式。


Tags: