ВойтиНовый пользовательЗабыли пароль?
Через соцсети

Взломай iOS 9 и получи $3,000,000

13.2kпросмотров
/
Популярное

Объявлен конкурс для хакеров

Специалисты из Palo Alto Networks - американской компании с сфере интернет-безопасности, сообщили об обнаружении множества вредоносных приложений в App Store. Этот магазин приложений поддерживается компанией Apple. Он известен как самый достоверный и безопасный центр дистрибуции приложений для iOS. 

Предыстория

21 сентября компания Apple сообщила о крупной кибератаке, предпринятой хакерами на магазин App Store. Ее результатом стало заражение поддельной копией инструментария для разработки Xcode - XcodeGhost – официальных приложений для iPhone и iPad. Собственно, сама атака произошла 16 сентября, но выявить факт её осуществления удалось только 5 дней спустя.

По словам представителя Apple, хакеры сумели распространить вредоносный код среди разработчиков, создав поддельное приложение для разработки ПО под iOS и Mac, известное под названием Xcode. Собранные на поддельном Xcode приложения сразу оказывались зараженными XcodeGhost. Словом, вредоносное программное обеспечение было встроено в сотни одобренных в App Store программ.

Сейчас Apple очищает свой магазин от приложений, скомпилированных с помощью поддельного инструмента Xcode. В Купертино подчеркивают, что контролируют своих разработчиков, чтобы они использовали правильную версию Xcode, а не вредоносный XcodeGhost.

XcodeGhost стал первой массовой вредоносной программой или технологией заражения одной из самых безопасных ОС - Apple iOS. До появления XcodeGhost количество вредоносных программ для iOS едва ли составляло десяток и все они были рассчитаны на устройства с jailbreak, не говоря уже о том, что кто-либо мог распространять их через App Store. Высокий уровень безопасности последних версий этой мобильной ОС сделал ее почти полностью непроницаемой для различного рода эксплойтов и вредоносных программ.

Суть процесса, или как работает вредоносное ПО

Фальшивый Xcode в первую очередь затронул китайских разработчиков, поскольку именно они первыми воспользовались данным инструментом, решив не скачивать его с портала разработчиков Apple, а прибегнуть для этого к торрентам и другим «сомнительным местам».

Внедрение вредоносного кода в легитимное компилируемое приложение осуществлялось на стадии компоновки, когда компоновщик связывал объектный код самого приложения с вредоносным объектным кодом, получая на выходе приложение, которое для разработчика выглядит полностью легитимным, а на самом деле уже являющееся вредоносным. Полученное приложение подписывалось цифровым сертификатом разработчика и размещалось в App Store как легитимное.

Скорее всего, вредоносный код XcodeGhost, т. е. тот, который компоновщик внедрил в легитимное приложение, не выполняет никаких деструктивных для устройства функций, а просто собирает статистику об устройстве и отправляет ее на C&C-сервер злоумышленников в зашифрованном виде. Следовательно, XcodeGhost специализируется только на сборе информации о системе.

$1 млн за взлом iOS 9

Компания Zerodium, которая занимается скупкой уязвимостей, объявила на своем официальном сайте, что намерена выплатить $1 млн за взлом iOS 9.

Таким образом, вероятно, они просто хотят «взять» часть рынка ПО для «взломанных» айфонов у Cydia, создав свой аналог, чтобы начать зарабатывать на сторонних разработчиках приложений, продуктов которых нет в App Store, или же «спихнуть ачивку» кому-то подороже, возможно, даже самой Apple.

Напомню, что Cydia - это программное приложение для iOS, которое позволяет искать и устанавливать ПО для iPhone, iPod Touch или iPad, после незаконного открытия доступа к файловой системе устройства (джейлбрейка).

Джейлбрейк (англ. Jailbreak - «Побег из тюрьмы») - фициально неподдерживаемая корпорацией Apple операция, которая позволяет получить доступ к файловой системе устройств iPhone, iPod или iPad. Это позволяет расширить возможности аппарата, например сделать возможным поддержку тем оформления, твиков (настроек) и установку приложений из сторонних источников (не App Store).

Условия конкурса

Итак, условия конкурса довольно просты: умелец, который сможет обнаружить способ удаленного несанкционированного доступа к iPhone или iPad, получит от компании $1,000,000. В конкурсе могут принимать участие и команды хакеров, но каждый из них получит не более указанной суммы. Условия «соревнования» также предусматривают не более трех победителей.

Согласно условиям конкурса, удаленный доступ должен осуществляться взломщиками с помощью браузеров Safari или Chrome со стандартными настройками, через обращение веб-страницы к какому-либо приложению, либо с помощью простых SMS или MMS-сообщений.

После выявления уязвимости в системе хакер не должен стучаться в двери компании с требованием своих денег. Для начала нужно убедиться, что взлом удался и доступ может осуществляться ко всем пользовательским данным, хранящихся на нем. Zerodium  не будет оплачивать частичный джейлбрейк.

Удостоверившись в полном контроле над устройством хакер должен будет составить полное описание своих действий для взлома, предоставить исходный код для джейла, а также в подробностях рассказать о характере уязвимости в системе.

Все желающие смогут попытать свои силы до 31 октября текущего года. По словам организаторов конкурса, все сведения о взломе будут строго засекречены.

Стоит отметить, что на YouTube уже обозначился первый претендент на миллион: сразу после релиза iOS 9 для разработчиков, парень с ником iH8Sn0w выложил видео своего варианта джейлбрейка системы. Он смог изменить загрузочную информацию, а также тему оформления Anemone через твик (магазин Cydia).

Ввиду того, что до настоящего времени никто из представителей Zerodium не давал комментариев относительно этого видео, а также не сообщалось о том, что кто-либо выиграл приз, возможно, что этому парню поступили куда более «вкусные» предложения от других компаний. Что же, остаётся добавить, что будет очень любопытно узнать кто победит в этой «кибергонке».

Комментарии
Незарегистрированные пользователи могут оставить комментарий через виджет Вконтакта, Фейсбука или использовать нашу платформу. Ваш выбор мы запомним (в хорошем смысле)
Вконтактик
Фейсбучек
Для членов клуба
ВЫ НЕ МОЖЕТЕ ОСТАВИТЬ КОММЕНТАРИЙ необходимо зарегистрироваться или войти
Похожие новости
Яндекс.Метрика