E o zero-day de US$ 1 mi vai para…

Lembra daquela empresa chamada Zerodium, que ia pagar US$ 1 milhão para quem encontrasse um zero-day no iOS9?

A bolada seria paga para quem descobrisse uma forma de fazer um untethered jailbreak no iOS9— jailbreak feito diretamente no aparelho, sem a necessidade de plugar o device em um computador, bootar, etc. Outra regra da competição era que a exploração da vulnerabilidade funcionasse no iPhone 6S, 6S Plus e iPad Air 2.

E parece que alguém conseguiu a façanha…

Segundo a Wired, a startup de segurança irá pagar a polpuda recompensa para hackers que desenvolveram uma técnica através da qual é possível hackear qualquer iPhone ou iPad a partir de um “site muito bem construído”.

Ou seja, ao usar qualquer técnica de engenharia social, o usuário pode visitar tal site e permitir o acesso remoto de algumas organizações ao seu aparelho. E história mais interessante pode estar por trás das perguntas: Quais seriam estas organizações? Quem pagou a conta?

A empresa promete em breve revelar os detalhes técnicos somente aos seus clientes, que incluem (além dos governos) “grandes corporações nas áreas de defesa, tecnologia e finanças”.

“Zerodium e seu fundador, Chaouki Bekrar deixaram claro que seus clientes incluem governos que, sem dúvida, usam esse tipo de técnica “zero-day” em “alvos involuntários”.”

E também diz que não vai revelar “de imediato” as vulnerabilidades à Apple, parte mais interessada na história. Talvez, quem sabe, “poderá dar detalhes aos engenheiros da Apple mais tarde, para ajudá-los a criar um patch contra o ataque”