23 сентября 2015

Взломай iOS 9 и получи миллион долларов

Zerodium заплатит один миллион долларов США ($ 1,000,000.00) каждому специалисту или команде, которые предоставят эксклюзивную информацию об уязвимости на основе браузера или непривязанного джейлбрейка в последней операционной системе компании Apple — iOS 9.
 Так говорится в объявлении стартапа Zerodium.
Бюджет выделенный на акцию составляет $3.000.000, что означает, что рассчитан он только на три эксплойта. Много это или мало определят итоги.

Завершен же конкурс будет 31 октября 2015 года в 6:00 вечера по EDT



Требования к эксплойту:

  • Приемлемые материалы должны включать в себя всю цепочку неизвестных, неопубликованных, и незарегистрированных уязвимостей/эксплойтов (нулевого дня), которые позволяют эксплуатировать iOS 9 в обход ASLR, песочницы, rootless, подписания кода и bootchain.
  • Эксплойт/джейлбрейк должны позволять удаленному использованию в привилегированном режиме, и установки произвольного приложения (например, Cydia) на полностью обновленной IOS устройства 9 (см. Ниже)
  • Начальная вектор атаки должны быть:
    - веб-страница нацелена на мобильный браузер (Mobile Safari или Google Chrome) в конфигурации по умолчанию; ИЛИ
    - веб-страницы любое приложение достижимое с помощью браузера; ИЛИ
    - текстовое сообщение и/или мультимедийный файл через SMS или MMS.
  • Весь процесс эксплуатации / джейлбрейк должны быть достижимыми удаленно, надежно, тихо, и без какого-либо взаимодействия с пользователем, кроме посещения веб-страницы или чтение SMS/MMS (векторы атаки, такие как физический доступ, Bluetooth, NFC, или основной полосы частот не дают право на получение премии, но могут быть вознаграждены отдельно на усмотрение Zerodium.
  • Эксплойт/джейлбрейк должен поддерживать и надежно работать на следующих устройствах (32-бит и 64-бит, когда это применимо):
    - iPhone 6S / iPhone 6s Plus / iPhone 6 / iPhone 6 Plus
    - iPhone 5 / iPhone 5c / iPhone 5s
    - Ipad Air 2 / Ipad Air/ Ipad 4 / Ipad 3 / Ipad Mini 4 / Ipad Mini 2
  • Частичные или неполные эксплойты/джейлбрейки не дают право на получение премии, но могут быть вознаграждены отдельно на усмотрение Zerodium.
  • Все материалы должны быть сделаны исключительно для ZERODIUM и должны включать в себя полностью функционирующий эксплойты/джейлбрейки и его исходный код (если таковые имеются), и подробное описания техническом документе всех уязвимости нулевого дня и методы, используемые в джейлбрейке.