IOS BUG BOUNTY: Million Dollar Baby

Exploits für iOS 9 sind offensichtlich eine begehrte Ware: Der Exploit-Händler Zerodium hat nun eine Million US-Dollar für funktionierende, aus der Ferne bedienbare Exploits ausgelobt. Das Programm geht bis zum 31. Oktober, doch es gibt zahlreiche Einschränkungen.

Artikel veröffentlicht am ,
Ein Exploit für iOS 9 ist Zerodium bis zu einer Million US-Dollar wert.
Ein Exploit für iOS 9 ist Zerodium bis zu einer Million US-Dollar wert. (Bild: Zerodium)

Wer einen funktionierenden Exploit für iOS 9 besitzt, könnte bald Millionär sein. Der Zero-Day-Händler Zerodium hat am 21. September eine Ankaufprämie von einer Million US-Dollar für Individuen oder Teams ausgeschrieben, die bis zum 31. Oktober einen funktionierenden Remote-Exploit vorlegen.

Stellenmarkt
  1. Software Engineer (gn*) für MES Automation / Smart Manufacturing
    Siltronic AG, Burghausen
  2. IT-Systemadministrator / Anwendungsbetreuer (w/m/d)
    ESWE Verkehrsgesellschaft mbH, Wiesbaden
Detailsuche

Wer die Prämie kassieren will, muss jedoch zahlreiche Voraussetzungen erfüllen. Die Exploits müssen vorher unbekannte, nicht berichtete Schwachstellen ausnutzen und alle Exploit-Vermeidungstechniken von iOS 9 umgehen.

iOS 9 mit neuem Sicherheitsfeature

Mit iOS 9 hat Apple die neue Sicherheitsfunktion Rootless eingeführt. Die Technik soll selbst Nutzern mit Administratorrechten den Zugriff auf bestimmte geschützte Dateien verbieten und so die Manipulation durch Malware verhindern. Weitere zu umgehende Sicherheitsfeatures sind Secure Boot (Bootchain), Code Signing, Sandboxing sowie Address Space Layout Randomization (ASLR).

Ein für das Programm geeigneter Exploit muss zudem aus der Ferne eine privilegierte und dauerhafte Installation einer zufälligen App ermöglichen. Auch für den Angriffsvektor gibt es zahlreiche Einschränkungen: So muss der Angriff mit Hilfe einer Webseite über Google Chrome oder Apple Safari in der Standardkonfiguration oder mit einer per SMS oder MMS übertragenen Mediendatei funktionieren. Auch Angriffe, die aus dem Browser heraus beliebige Applikationen angreifen, sind zulässig.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Exploits müssen auf allen iPhones der Serien 5 und 6 funktionieren, außerdem auf dem iPad Air 2, iPad Air, dem iPad der dritten und vierten Generation sowie dem iPad Mini in den Versionen 2 und 4.

Exploits, die diesen Kriterien nicht entsprechen, werden nicht belohnt. Zerodium behält sich jedoch vor, eingereichte Exploits die nicht für das 1-Million-Dollar-Programm geeignet sind, außerhalb des Programms anzukaufen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Opel Mokka-e im Praxistest
Reichweitenangst kickt mehr als Koffein

Ist ein Kompakt-SUV wie Opel Mokka-e für den Urlaub geeignet? Im Praxistest war nicht der kleine Akku das eigentliche Problem.
Ein Test von Friedhelm Greis

Opel Mokka-e im Praxistest: Reichweitenangst kickt mehr als Koffein
Artikel
  1. Statt TCP: Quic ist schwer zu optimieren
    Statt TCP
    Quic ist schwer zu optimieren

    Eine Untersuchung von Quic im Produktiveinsatz zeigt: Die Vorteile des Protokolls sind wohl weniger wichtig als die Frage, wer es einsetzt.

  2. Lockbit 2.0: Ransomware will Firmen-Insider rekrutieren
    Lockbit 2.0
    Ransomware will Firmen-Insider rekrutieren

    Die Ransomware-Gruppe Lockbit sucht auf ungewöhnliche Weise nach Insidern, die ihr Zugangsdaten übermitteln sollen.

  3. Galactic Starcruiser: Disney eröffnet immersives (und teures) Star-Wars-Hotel
    Galactic Starcruiser
    Disney eröffnet immersives (und teures) Star-Wars-Hotel

    Wer schon immer zwei Tage lang wie in einem Star-Wars-Abenteuer leben wollte, bekommt ab dem Frühjahr 2022 die Chance dazu - das nötige Kleingeld vorausgesetzt.

Strulf 22. Sep 2015

Die werden den Ausbruch auch nicht kostenlos anbieten, falls es soweit kommen sollte...

Bouncy 22. Sep 2015

Zerodium handelt ausdrücklich mit Regierungen, man kann also ruhigen Gewissens die Kohle...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Fire TV Stick 4K Ultra HD 29,99€, Echo Dot 3. Gen. 24,99€ • Robas Lund DX Racer Gaming-Stuhl 143,47€ • HyperX Cloud II Gaming-Headset 59€ • Media Markt Breaking Deals [Werbung]
    •  /