スマホ関連の海外ニュースです。
数のハイテク企業は、各自のソフトウェアプログラムでプラグホールを助けるために報奨金を提供しています。彼らは有意な搾取の10,000ドルから15,000ドルをお支払いいただけます。これらの金額は厳しい競争に直面しているが、「何人かのハッカーバグ報奨金は400,000ドルの予算を入手したと、同社Bounty Programが提供する何2〜3倍を支払う用意の目につきました」とDamballa研究員ロウチフハローニ氏は述べた。
ゼロディウムは先週、ジューシーなiOS9バグや脱獄の1000000ドルの懸賞金を出した。
ゼロディウムは、売買しDamballaの弱点および脆弱性が市場を運営している。
「は特定の買い手への洞察はありませんが、iOS9に対する攻撃が検出されると、ゼロディウムは(US)$1000000以上の方法で販売していますと考えられます」と、ロウチフハローニ、Damballaのシニア脅威研究者が書いた、同社公式Blogの中で。
「ファインディングiOS9セキュリティ侵害が1000000のiPhoneユーザーのうち、従来の「壁で囲まれた庭」アプローチアプリへのAndroidよりセキュリティの高い等級がつけられている深刻な悪影響を及ぼすだろう」と同氏は指摘している。
サイバー犯罪者が盗品と私腹を肥やすために使用できる脆弱性をも払うことが知られているが、「それは攻撃に多くの金だ」とハローニはTechNewsWorldに語っている。「幸はこれらの攻撃を検出しやすくする方法です。これ以上良い方法は、人はよりも、何かにお金をお渡しするよう促すこと?」
ます誰かが本当にiOS9エクスプロイトの1000000ドルで手に入りますか?
「誰かが彼らと連絡を受けた後、恵みが本物かどうかだろう」と、ハローニ氏は述べた。
が、幸賞を立証することは困難だろう、と指摘した。「幸を集めようとした人なら誰でも、匿名希望するだろうと、ドブリン氏は、支払われるのかどうか」。
かっこいい1000000袋を希望する任意の賞金稼ぎに難しい道だハローニは続けた。「これは、iOS用のセキュリティーホールを見つけることが課題であり、Androidよりも安全な方法だからだ」
ゼロディウムはiOS9奨励金の対象となる資格と攻撃の種類に対して高い基準を設定しています。
「1000000ドルで、彼らが絵を盗んだだけのもの以上のものを求めている」ハローニは指摘する。「彼らは電話への完全なアクセス権を与えて、ネズミなどというものが欲しいのです。」
、またはリモートアクセス型トロイの木馬で、ネズミはデバイスに対する侵入者のリモート管理が可能になります。
数のハイテク企業は、各自のソフトウェアプログラムでプラグホールを助けるために報奨金を提供しています。彼らは有意な搾取の10,000ドルから15,000ドルをお支払いいただけます。これらの金額は、裏市場との厳しい競争に直面している。
「何人かのハッカーバグ奨励金の400,000ドルの予算を入手したと、同社Bounty Programが提供している何2〜3倍を支払う意志を見てきました」と、ハローニ氏は述べた。
ゼロディウムはiOS Field Noticeの9の不具合に対するトロール漁を始めると、Appleがセキュリティ火災からビジースナッフだった。
100マルウェアに感染しているアプリはApp Storeにアップロードされていることを知った。
iOS9の初期リリースのバグをクリーンアップするスクランブル、lockscreen脆弱性は、OSに発見された。
悪意あるアプリの問題は、研究者たちは、中国の開発者は、Xcodeの偽造版、AppleはiOSアプリに取り組んでいる開発者に配布ツールをダウンロードしたことが分かった。
開発者に知られていない、工具の偽バージョンは「スコデジホスト」と呼ばれるマルウェアを使用して作成したアプリを感染
開発者には欠陥がツールをダウンロードした理由は、米国にあるアップル社のサーバーからのそれよりもかなり高速にダウンロードできるサーバーでホストされているということだった。
Appleはその生態系からの有害なアプリをパージするのと、今回の問題が将来で繰り返されていないことを確認してコミットした。
アップルは中国内のサーバーをセットアップする同社の開発ツールはそこに速くダウンロードできますので、国際マーケティングPhil Schiller氏との上級副社長が先週発表した。
混乱は、Appleのスターリングセキュリティ信頼を失墜させながら、もっと悪いこともあり、アプソリティが示唆された。
「実際の行動に関する感染したアプリケーションのリスク分析結果を考えると、我々は、MDDがコードにより有害な行動を容易に追加されているのですが、今後はそれを見るかもしれませんが、スコデジホスト』)の著者たちが分析したバージョンでこれらを実施しなかった」と、アンドレアス・ワインレイン、アプソリティのエンジニアは書いている。
「アップル社の最近の攻撃も米アップルコンピュータ社のシステムは容易に悪用できるということを示している」と、フィリップ・ヒートリ、アバストのセキュリティ研究者が観測された。
「が今回、ほとんど実績のないがあったのは、「Appleシステムの下にあるすべてのものを有するシステムを弱くする可能性があるということを示すものだ」と彼はTechNewsWorldと言われました。
「ハッカーは一つのエントリポイントを利用できる場合は、すべての後続タスクを他のiOS機器を攻撃することができます–Appleは大きな多様な製品を持っていないという事実だと簡単」ヒートリは指摘した。
が、iOSの内部からも「サンドボックス」のAppleの使用は、悪意のあるアプリケーションの攻撃からある程度のセキュリティをそのユーザーに提供します。
「サンドボックス・プロセスの一環として、」ヒートリ氏は、「システムが各アプリ独自のサンドボックスディレクトリ、アプリケーションおよびそのデータのホームとして機能するのをインストールします。からマルウェア作者が他のアプリケーション内に機密性の高いデータに容易にアクセスすることができません。」
iOSのバージョンはlockscreen脆弱性に苦しむされてきており、それはiOS9例がありましたね。
で,2年前にiOS6.1.3lockscreenこのバグを見つけ、Jose RodriguezはiOSを暴露した9lockscreen欠陥、SiriはlockscreenからアクティブになったときにI/O9の5試みのロックアウト・ポリシーを利用することによってlockscreenを回避する方法について説明しました。lockscreenはバイパスされると、侵入者が携帯電話の写真や連絡先にアクセスできます。
「どのメジャーアップグレードは、指定されたデバイス上で攻撃される可能性を明らかにし、増大する可能性、ソフトウェアが人間によって作られており、市場にデバイスを取得する市場圧力になっている)が発見されていないというバグの一部少数であっても」と、キャメロン・キャンプ、eSetの上級研究員は説明した。
「ロックテクノロジー・インプリメンテーションは完璧だ」とTechNewsWorldとのインタビューで、「およびすべての新しいアプローチでは、途中でバグになりがちです。うまくいけば、責任ある開示とコードのレビューは、露光時間を最小限に抑え、急速にパッチを展開消費者保護のに使われることになるだろう」と述べた。
ジョン・メロはフリーランスの技術ライターであり、最高セキュリティ責任者』誌の寄稿者、Google+に彼と連絡をとることができます。
続きを読む…
Black Hats Offer Million-Dollar iOS 9 Bug Bounty
A number of high-tech companies offer bounties to help plug holes in their software programs. They may pay $10,000 to $15,000 for a significant exploit. Those amounts face tough competition, though. “I’ve seen some hackers claiming to have a $400,000 budget for bug bounties and willing to pay two to three times what’s offered by a company bounty program,” said Damballa researcher Loucif Kharouni. Zerodium last week posted a million-dollar bounty for juicy iOS 9 bugs or jailbreaks. Zerodium runs a market where exploits and vulnerabilities are bought and sold, according to Damballa.
Read more…
