Vorige maand schreven we al dat een beveiligingsbedrijf één miljoen dollar uitloofde voor het team dat een op afstand uitvoerbare jailbreak voor iOS 9 kon ontwikkelen, en het ziet ernaar uit dat er inmiddels een groep hackers is geweest die deze opdracht succesvol heeft voltooid. Volgens de startup Zerodium hebben zij een methode ontwikkeld waarmee je een iPhone of iPad kan jailbreaken door een aangepaste website te bezoeken.
Verwacht overigens niet dat deze iOS 9.1 en iOS 9.2 jailbreak wordt uitgebracht voor ons consumenten, want de startup gaat de hack verkopen aan verschillende regeringen of bedrijven, zodat zij toegang kunnen krijgen tot de iPhones of iPads van een verdachte. Twee teams maakten kans op het bedrag, maar slechts één team wist een volledige werkende jailbreak te presenteren die op afstand uitvoerbaar is.
In gesprek met Wired laat de CEO van Zerodium, Chaouki Bekrar, weten dat het bedrijf de technische details van de methode gaat verkopen aan zijn klanten, die door hem worden beschreven als “grote bedrijven in financiën, technologie en defensie”, en op zoek zijn naar tools om hun mogelijkheden te vergroten. Zerodium zegt dat het vooralsnog geen plannen heeft om Apple te informeren over de ontdekte kwetsbaarheden in iOS 9.1 en iOS 9.2, hoewel de oprichter niet uitsluit dat dit op een later moment alsnog gaat gebeuren.
Volgens de regels die door Zerodium zijn opgesteld moest de jailbreak op afstand uitvoerbaar zijn, betrouwbaar zijn en kunnen worden uitgevoerd zonder interactie van de gebruiker, behalve het bezoeken van een webpagina of het lezen van een sms’je. Ook mochten hackers alleen gebruik maken van Google Chrome of Safari, echter heeft Zerodium niet bekendgemaakt welke browser is gebruikt voor de jailbreak.
Bekrar vertelde aan Wired dat de iOS jailbreak waarschijnlijk alleen wordt verkocht aan klanten uit de Verenigde Staten. “We waren oorspronkelijk van plan om geen informatie naar buiten te brengen over de uitkomst van de bounty, maar we toch besloten om de community te informatie over de beveiliging van iOS die zeer sterk is, maar niet onbreekbaar.”
Apple heeft tot op heden nog niet gereageerd op de situatie.
[sc:adsense-tekst ]