Jailbreak iOS à distance depuis un navigateur

Le par  |  3 commentaire(s)
Zerodium

Zerodium annonce un vainqueur pour son programme à un million de dollars. Une équipe de hackers a conçu un jailbreak untethered à distance pour iOS 9.1 et 9.2 bêta depuis un navigateur.

Le mois dernier, Zerodium s'offrait un coup de com' à un million de dollars en lançant son programme The Million Dollar iOS 9 Bug Bounty. Jusqu'au 31 octobre, la somme d'un million de dollars était mise en jeu pour un individu ou une équipe proposant un jailbreak untethered pour iOS 9 avec quelques exigences bien définies.

La société, qui achète et vend des exploits 0-day, annonce une équipe gagnante qui a soumis dans les délais impartis un jailbreak untethered pour iOS 9.1 et iOS 9.2 bêta dont l'exécution peut se faire à distance depuis le navigateur.

En l'occurrence, il s'agit de la découverte de plusieurs vulnérabilités dans Google Chrome et iOS afin de passer outre presque toutes les mesures de protection et parvenir à un jailbreak complet. Le concours nécessitait que les exploits soient fonctionnels sur l'iPhone 6 et iPhone 6s, et donc sans accès physique.

On rappellera que le dernier jailbreak public est celui de la team Pangu pour iOS 9.0 à 9.0.2. Les exploits utilisés pour celui-ci ont été comblés dans iOS 9.1. Quant à un jailbreak iOS à distance, on a plus vu cela depuis belle lurette.

Derrière Zerodium, on retrouve Chaouki Bekrar connu pour être le fondateur de VUPEN. Il est dès lors hautement probable que les secrets du jailbreak à un million de dollars seront bien gardés, sauf pour des agences gouvernementales qui mettront le prix. La NSA ?

Interrogé par Motherboard, Chaouki Bekrar a précisé que les vulnérabilités mises au jour sont encore testées afin de s'assurer que leur enchaînement dans l'exploit répondent entièrement aux règles du programme de récompenses.

Il a refusé de donner l'identité de l'équipe qui a remporté le gros lot. Il a également gardé le silence sur des détails de l'exploit et le montant auquel il sera revendu. Il a ajouté qu'Apple devrait probablement corriger les bugs impliqués d'ici quelques semaines… à quelques mois.

A priori, le grand public n'est pas gagnant dans cette affaire avec des vulnérabilités de sécurité dont Apple n'aura pas directement connaissance et peut ainsi craindre des charges utiles malveillantes. Quant aux jailbreakers, ce n'est probablement pas de Zerodium que viendra le prochain jailbreak.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1866203
1 million en jeu, mais quel genre de boite rachetent ces exploits et pour en faire quoi ?
Le #1866211
chibre a écrit :

1 million en jeu, mais quel genre de boite rachetent ces exploits et pour en faire quoi ?


C'est dis dans l'article. Ils achètent des failles 0Days, pour les revendre à des agences gouvernementales tel que la NSA
Le #1866279
je devais pas avoir les yeux en face des trous pour avoir raté ces 3 lignes
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]