Zerodium offre 1,5 milioni per hackerare l’iPhone e rivendere il bug alla NSA
L’azienda americana dell’ex fondatore di Vupen è amata dai governi e odiata da hacker etici e attivisti per le libertà civili che gli rimproverano i legami con la NSA
Arturo Di Corinto per Cybersecurity 4 ottobre 2016
Zerodium, la start up dell’hacking, offre un milione e mezzo di dollari per hackerare l’iPhone e rivendere l’exploit alla NSA. Fatto senza precedenti nella storia dell’hacking, Zerodium è un’azienda specializzata nell’impiego di hacker e bug-hunters per acquisire tecniche di intrusione informatica in grado di violare sistemi operativi, app, plugin, browser e servizi web.
Creata nel 2015 da Chaouki Bekrar, è stata la prima azienda a cercare di trasformare in un’attività legale l’hacking dei dispositivi che usiamo ogni giorno, seguendo il suggerimento di un ricercatore indipendente della NSA nel lontano 2007. Ma è lo stesso motivo per cui l’esperto dell’American Civil LIberties Unione – ACLU, Christopher Soghoian, ha etichettato Bekrar come un “mercante di morte”.
Zerodium: come funziona e quanto paga
La compagnia, salita alle cronache per aver offerto un milione di dollari per l’exploit di iOS 9, adesso ha aumentato la tariffa del 50% e, poiché come dichiara nel suo sito rivende queste informazioni al mercato tecnologico ristretto di grandi aziende e governi NATO, ci si aspetta che una volta trovata la falla capace di eseguire da remoto le funzionalità di iOS 10, essa sarà presto nella disponibilità della National Security Agency americana.
L’offerta è sul mercato nonostante un ricercatore italiano, Luca Todesco, conosciuto come qwertyoruiop, ha già fornito la dimostrazione pubblica dell’exploit di iOS 10 in versione beta sul nuovo iPhone 7.
A proposito, Zerodium è anche la prima azienda di questo genere a fissare un tariffario preciso per ogni tipo di vulnerabilità da acquisire e definisce in maniera piuttosto rigida il processo di valutazione della “merce” che gli viene offerta prima di decidere di comprarla.
Zerodium: successi, critiche e gelosie
Creata da veterani del mondo della cybersecurity adesso è basata a Washington a due passi dagli uffici della sicurezza del paese più spione del mondo anche se afferma di fare questo lavoro per aziende della difesa, della tecnologia e della finanza in Usa ed Europa che cercano “protezione dagli zero-days”, le vulnerabilità non ancora note dei software e da altre minacce. Usando ricercatori indipendenti, qualcuno li chiama in maniera dispregiativa cacciatori di taglie, acquista e rivende informazioni per mettere in sicurezza i dispositivi con un approccio che privilegia, dicono, la qualità alla quantità. Sono molti gli exploit la cui diffusione gli è stata attribuita in questo primo anno di vita.
Un milione e mezzo per il jailbreak di iPhone 10
Per il jailbreak che consentirà a gestire da remoto e senza permesso l’iPhone 10 dell’azienda di Cupertino creata da Steve Jobs, offre 7 volte di più di quello che offre la stessa Apple (fino a $200,000) nel suo programma di ricerca dedicato solo a un limitato e selezionatissimo numero di esperti di cybersecurity.
E in effetti l’anno scorso Zerodium aveva pagato $1 million alla fine di un contest a premi per tre zero-days dello iOS 9 a un gruppo di hacker ancora sconosciuto mentre adesso per il nuovo jailbreak dell’ultimo sistema operativo della Apple è pronto a pagare questa cifra stratisferica a chiunque la metta in condizione di prendere il controllo del dispositivo.
Intanto ha raddoppiato il premio del bug bounty di Android 7.x (Nougat), che era di $200,000 e di Adobe Flash, Microsoft Internet Explorer, Edge, Windows Reader, Microsoft Word and Excel, Safari, OpenSSL e PHP.
La notizia è stata data dal CEO di Zerodium su twitter attirandosi però più di una critica dai ricercatori di cybersecurity che considerano il suo un approccio non etico alla sicurezza informatica.