Zero-day exploit voor iOS leverde half miljoen dollar op

Een zero-day exploit voor iOS heeft 500.000 dollar opgeleverd, schrijft de New York Times in een artikel over hackers die exploits verkopen.
Gonny van der Zwaag | iCulture.nl -

ios exploitEen zero-day exploit voor iOS heeft $500.000 opgeleverd. Dat schrijft The New York Times in een artikel over hackers die exploits verkopen aan overheden en bedrijven. In het artikel komen onder andere twee Italiaanse hackers aan het woord, de 32-jarige Luigi Auriemma en de 28-jarige Donato Ferrante. Zij verkopen de technische details van kwetsbaarheden die ze hebben ontdekt aan organisaties als de NSA. De Italianen waren overigens niet betrokken bij de verkoop van de iOS-exploit, waarbij de NYT zich baseert op twee bronnen. Apple zou geen programma hebben voor het betalen van hackers. Microsoft wel: na aanvankelijke aarzeling werd vorige maand een programma opgericht waarmee hackers $150.000 kunnen verdienen door informatie beschikbaar te stellen over een exploit.


Concurrent Google is op dat punt al veel verder gevorderd: zij betaalden tot nu toe $3.133,70 (de hackercode voor ‘elite’) voor gevonden bugs in de webbrowser Chrome. Afgelopen maand werd dat bedrag opgevoerd naar $20.000 voor veelgebruikte Google-producten. Facebook begon in 2011 met een soortgelijk programma en betaalde tot nu toe $1 miljoen uit, waaronder $2.500 aan een dertienjarige scholier. Dat Apple geen soortgelijk programma heeft, is eigenlijk opmerkelijk, want het zoeken naar bugs in iOS is een populaire bezigheid onder hackers. Toch is het lucratiever om exploits aan overheden en geheime diensten te verkopen. Wereldwijd, van Zuid Afrika tot Zuid Korea is er veel geld te verdienen met het ontdekken van ‘zero days’ waarmee de koper onbeperkt toegang krijgt tot een computer. Howard Schmidt, een voormalig cybersecurity-coördinator van het Witte Huis, zegt: “Overheden zeggen steeds vaker dat ze hun land het beste kunnen beschermen door kwetsbaarheden in andere landen te zoeken. Het probleem is dat we allemaal, fundamenteel minder veilig zijn”.

Reacties: 10 reacties

  1. En dat is nou het nadeel van de arrogantie van Apple.

  2. Arrogant of niet, Apple is geen open source, dus is dit helemaal niet relevant voor hun.

  3. @Lars
    Het is niet relevant of Apple wel of niet een open source is.

  4. Vertel? @Lars:

  5. Origineel geplaatst door Lars
    Arrogant of niet, Apple is geen open source, dus is dit helemaal niet relevant voor hun.

    Facebook en Microsoft wel dan?

  6. @Lars: Het is juist relevant omdat Apple niet open source is.

  7. Origineel geplaatst door Patryk
    En dat is nou het nadeel van de arrogantie van Apple.

    Hoezo arrogant? Na de vrijgave van de evasi0n jailbreak heeft het evad3rs dev team de exploits publiek gemaakt. Apple heeft de lekken gedicht en evad3ers vermeld in de release notes van iOS 6.1.3 bij de exploits die het team gevonden heeft.

  8. Origineel geplaatst door Timosha
    Origineel geplaatst door PatrykEn dat is nou het nadeel van de arrogantie van Apple.Hoezo arrogant? Na de vrijgave van de evasi0n jailbreak heeft het evad3rs dev team de exploits publiek gemaakt. Apple heeft de lekken gedicht en evad3ers vermeld in de release notes van iOS 6.1.3 bij de exploits die het team gevonden heeft.

    Omdat evad3ers het publiekelijk gemeld heeft, daarom dus maar als het anders was gegaan dan zou Apple ze niet dichten en als je het meldt riskeer je ook een rechtzaak, dat is al eens voorgekomen met Apple.
    Vandaar dat ze arrogant zijn.

  9. @Patryk

    Kan je voor de volledigheid ook zeggen welke rechtszaak dat was?

  10. @Patryk:
    Ik denk niet dat ‘arrogant’ hier het juiste woord is.
    (Welke het dan wel zou moeten zijn in dit geval, geen idee. Misschien ‘verstandig’?)

    Wat dit artikel ook laat zien:
    – Blijkbaar is iOS erg secure als een zero-day een half miljoen dollar oplevert. De andere voorbeelden leveren minder op, dus zijn ze schijnbaar moeilijk te vinden in iOS…
    – Wie geeft de garantie dat het aanbieden van geld voor expoits er voor zorgt dat ze aangemeld gaan worden?
    Als een hacker meer kan verdienen met expoiteren van het probleem dan verkopen aan het bedrijf, zal dat een interessantere mogelijkheid zijn…