Un exploit su iPhone vale fino a 2 milioni di dollari

Zerodium è una delle aziende più note per l’acquisto e la diffusione di exploit zero day (vulnerabilità non ancora conosciute). Quello che fa l’azienda americana in pratica è cercare sul mercato bug ed exploit appena scoperti (in genere da sviluppatori e hacker) e acquistarne i “diritti”.

Queste vulnerabilità non sono ancora note a nessuno, men che meno alle aziende produttrici dei prodotti “colpiti”, e idealmente l’hacker che le ha scoperte è l’unico a esserene a conoscenza. Per questo motivo Zerodium, una volta acquistate le informazioni esclusive sull’exploit, può decidere di farne ciò che vuole.

Normalmente Zerodium informa i suoi clienti, grandi aziende e governi (il fondatore Chaouki Bekrar qualche anno fa ha dichiarato che tratta solo con governi democratici), includendo informazioni su come difendersi dalla vulnerabilità.

Bekrar lascia intendere che limitando la diffusione degli zero day solo a poche aziende e governi si riducono gli abusi rispetto alla full disclosure (basta leggere come sono state formulate le domande in un suo recente poll su Twitter):

Quello che potrebbe succedere è che un governo, una volta acquisito un exploit da Zerodium, possa decidere di darlo alle forze di pubblica sicurezza (inclusi i servizi segreti) e usarlo per le operazioni che ritiene più opportune.

Oggi l’azienda ha fatto notizia perché ha ulteriormente alzato il “premio” che paga per acquisire zero day.

L’hacker che riuscisse a scoprire un remote jailbreak “zero click” per iPhone riceverebbe ben due milioni di dollari USA. Un milione di dollari per chi trova una falla su WhatsApp, iMessage o SMS/MMS che consenta l’esecuzione remota di codice. Stessa cifra per chi dovesse scoprire uno zero day dagli effetti analoghi per i sistemi Windows.

Una lista completa è disponibile qui.

Da notare come l’azienda applichi prezzi decisamente superiori per gli zero day su dispositivi mobili, soprattutto iPhone. Per Zerodium (e quindi, presumibilmente, per i governi suoi clienti) riuscire a entrare su un cellulare vale il doppio rispetto alla stessa operazione compiuta su un sistema desktop.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.