Por mais seguros que os sistemas da Apple costumem ser em comparação aos seus principais concorrentes – tanto no universo desktop como no mobile –, não é raro que brechas surjam e sejam aproveitadas por pessoas com conhecimentos avançados de programação. Com isso em mente, uma agência de segurança ofereceu US$ 1 milhão (cerca de R$ 3,8 milhões) para quem conseguisse invadir remotamente a mais nova versão do iOS até o dia 31 de outubro. O resultado? Um hack funcional e um desenvolvedor com a carteira recheada, claro.
O desafio proposto em setembro pelos administradores do site Zerodium exigia que o jailbreak feito de forma remota pudesse ser realizado em um iPhone bloqueado, rodando o iOS 9 ou superior e que o ataque fosse feito através do navegador do dispositivo, de ações iniciadas por aplicativos ou por meio de mensagens de texto. Para liberar a grana, era preciso que o exploit desse acesso completo ao equipamento, garantindo a instalação de uma série de softwares maliciosos, incluindo cavalos de troia e apps executados de forma oculta na plataforma.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
Parece fácil? Para se ter uma ideia da dificuldade do procedimento, basta lembrar que a última vez em que isso aconteceu seguindo esses passos foi no antigo iOS 7, e foi preciso uma série de exploits adicionais para preparar terreno para a invasão final – algo bem mais complexo do que o jailbreak convencional feito por usuários. Segundo Chaouki Bekrar, fundador da Zerodium, a tarefa é tão complicada que, perto da data limite para recebimento do prêmio, apenas dois grupos estavam próximos de desenvolver uma solução para a brincadeira.
Our iOS #0day bounty has expired & we have one winning team who made a remote browser-based iOS 9.1/9.2b #jailbreak (untethered). Congrats!
— Zerodium (@Zerodium) November 2, 2015
O problema é que ambas as equipes – que não tiveram seus nomes ou dados divulgados – afirmaram estar travadas no mesmo ponto, ainda que tenham trabalhado de forma independente. Uma mensagem publicada pelo perfil oficial da empresa na última segunda-feira (2), porém, revelou que um dos participantes realmente conseguiu levar a missão adiante e abocanhou a recompensa. De posse desse hack, a perspectiva é que a Zerodium lucre bem mais do que a quantia milionária paga para os vencedores da competição.
Se Bekrar seguir a estratégia utilizada pela VUPEN, sua antiga companhia, as chances são de que a ferramenta possa ser oferecida a agência governamentais de todo o mundo. O negócio se baseia na premissa de que a partir do momento em que uma delas dá o passo à frente e adquire o produto, as outras têm que fazer a compra para não ficarem para trás quando o assunto é inteligência. Os Estados Unidos, por exemplo, através de sua NSA (Agência Nacional de Segurança) e CIA, pode se tornar um cliente em potencial da Zerodium.
Hackers conseguem abocanhar prêmio de US$ 1 milhão por desbloqueio remoto de iOS 9. Comente sobre o tema no Fórum do TecMundo!
Fontes
Categorias