Компания ZERODIUM, работающая в сфере информационной безопасности и занимающаяся приобретением уязвимостей нулевого дня, анонсировала начало новой масштабной программы под названием Million Dollar iOS 9 Bug Bounty. В рамках этого проекта, ZERODIUM выплатит миллион долларов тому, кто сможет создать эксклюзивный веб-ориентированный джейлбрейк для iOS 9.
Всего ZERODIUM собирается выделить на программу выплаты вознаграждений 3 миллиона долларов. Компания приглашает поучаствовать в программе опытных ИБ-экспертов, специалистов реверс-инжиниринга и разработчиков джейлбрейков, которые смогут создать джейлбрейк или эксплоит для iOS 9.
Программа будет действовать до 31 октября 2015 года, но ZERODIUM оставляет за собой право досрочного закрытия Million Dollar iOS 9 Bug Bounty.
Исследователям нужно будет представить полную информацию о неизвестной ранее уязвимости нулевого дня, а также эксплоит к ней, позволяющий злоумышленникам обходить системы безопасности iOS 9, включая ASLR, песочницу, безопасную низкоуровневую загрузку, код подписи. Разработанный джейбрейк или эксплоит должен предоставлять возможность удаленного выполнения кода, повышения привилегий и постоянной установки произвольного приложения на полностью обновленной iOS 9.
Также новая разработка должна обеспечивать удаленное внедрение в iOS 9, используя мобильные веб-браузеры Google Chrome или Mobile Safari в стандартной конфигурации, или позволять получать доступ к любому приложению через зараженную веб-страницу в браузере, или обеспечивать доступ к системе через SMS- и MMS-сообщения.
Процесс использования джейлбрейка или эксплоита должен быть полностью удаленным, незаметным и никак не взаимодействовать с пользователем. В программу выплаты вознаграждений не входят такие разновидности атак, как использование Bluetooth, NFC, немодулированной передачи, а также физический доступ.
Действию эксплоита должны быть подвержены все модели iPhone, начиная с iPhone 5, и все модели iPad, начиная с iPad третьего поколения.