L’agence de sécurité Zerodium, dont le PDG est le français Chaouki Bekrar, lance une nouvelle initiative où toute personne ou organisation qui arrive à jailbreak l’iOS 9 recevra jusqu’à 3 millions de dollars. Zerodium explique que le cassage d’iOS 9 doit permettre de jailbreaker un appareil sous iOS 9 à distance et être untethered (sans redémarrage par ordinateur).

Chaouki écrit qu’Apple a fait d’énormes progrès pour renforcer la sécurité de son iOS qui est d’ailleurs aujourd’hui le système mobile le plus sécurisé. De fait, il a décidé de lancer ce nouveau concours où le ou les gagnants devront fournir leurs exploits et démontrer les vulnérabilité d’iOS 9.

zerodium-lagence-de-securite-offre-jusqua-3-millions-de-dollars-pour-le-jailbreak-ios-9

Il n’est évidemment pas à la portée de tous mais on imagine que les meilleurs hackers du moment doivent déjà se pencher sur la question. 3 millions de dollars ce n’est pas rien, et le gagnant aura également toute la reconnaissance de la communauté, en plus d’une poste quasi certain au sein de Zerodium.

Alors si vous êtes un hacker né et que vos connaissances vous permettent d’y travailler, cela en vaut largement la chandelle. Le concours est se terminera le 31 Octobre 2015, ou peut-être plus tôt si un exploit est découvert avant.

Voici ce que dit le concours dans le détail :

Eligible submissions must include a full chain of unknown, unpublished, and unreported vulnerabilities/exploits (aka zero-days) which are combined to bypass all iOS 9 exploit mitigations including: ASLR, sandboxes, rootless, code signing, and bootchain.

The exploit/jailbreak must lead to and allow a remote, privileged, and persistent installation of an arbitrary app (e.g. Cydia) on a fully updated iOS 9 device (see below).

The initial attack vector must be either:
– a web page targeting the mobile browser (Mobile Safari OR Google Chrome) in its default configuration; OR
– a web page targeting any application reachable through the browser; OR
– a text message and/or a multimedia file delivered through a SMS or MMS.

The whole exploitation/jailbreak process should be achievable remotely, reliably, silently, and without requiring any user interaction except visiting a web page or reading a SMS/MMS (attack vectors such as physical access, bluetooth, NFC, or baseband are not eligible for the Million Dollar iOS 9 Bug Bounty. ZERODIUM may, at its sole discretion, make a distinct offer to acquire such attack vectors.).

The exploit/jailbreak must support and work reliably on the following devices (32-bit and 64-bit when applicable):
– iPhone 6s / iPhone 6s Plus / iPhone 6 / iPhone 6 Plus
– iPhone 5 / iPhone 5c / iPhone 5s
– iPad Air 2 / iPad Air / iPad (4rd generation) / iPad (3th generation) / iPad mini 4 / iPad mini 2

Partial or incomplete exploits/jailbreaks will not be eligible for the Million Dollar iOS 9 Bug Bounty. ZERODIUM may, at its sole discretion, make a distinct offer to acquire such partial exploits.

All submissions must be made exclusively to ZERODIUM and must include the fully functioning exploit and its source code (if any), and a detailed whitepaper describing all the zero-day vulnerabilities and techniques used in the jailbreak.

Partager un commentaire