มีการอ้างสิทธิ์ในการมอบเงินรางวัลจำนวนล้านให้กับใครก็ตามที่พบข้อบกพร่องที่ทำให้คุณสามารถเจลเบรค iPhone จากระยะไกลได้ นอกเหนือจากการหาประโยชน์ทางเทคนิคแล้ว ยังมีคำถามเกิดขึ้นเกี่ยวกับการใช้ข้อบกพร่องนี้โดย Zeroodium ซึ่งสามารถขายต่อให้กับหน่วยงานของรัฐได้
เมื่อปลายเดือนกันยายนปีที่แล้วซีโรเดียมซึ่งเป็นบริษัทสตาร์ทอัพที่เชี่ยวชาญด้านการซื้อ (และขายต่อ) ช่องโหว่ของซอฟต์แวร์ ได้ทุ่มเงินหนึ่งล้านดอลลาร์ไว้บนโต๊ะสำหรับทุกคนที่สามารถจัดหาวิธีการเจลเบรค/แฮ็ก iPhone จากหน้าเว็บธรรมดาๆ หรือ SMS /MMS งานที่ยากก็ยากมาก
เรามีผู้ชนะ...
ไม่กี่เดือนต่อมา ไม่กี่ชั่วโมงก่อนถึงเส้นตาย แฮกเกอร์เรียกร้องค่าหัว กำหนดเวลาในการส่งข้อบกพร่องแบบ Zero Day ที่เป็นไปได้ได้สิ้นสุดลงแล้ว และตามบัญชี Twitter ของ Zeroodium ดูเหมือนว่าทีมแฮกเกอร์จะประสบความสำเร็จในการฝึกหัดครั้งนี้
“เรามีทีมที่ชนะที่ผลิตการเจลเบรกระยะไกลบนเบราว์เซอร์สำหรับ iOS 9.1/9.2”ซึ่งอย่างหลังยังอยู่ในช่วงเบต้าสำหรับนักพัฒนา การเจลเบรกนี้ไม่มีการผูกมัด ซึ่งหมายความว่าเมื่อใช้แล้ว การเจลเบรกจะยังคงใช้งานได้แม้ว่า iPhone จะถูกปิดและรีสตาร์ทก็ตาม ไม่จำเป็นต้องเชื่อมต่อสมาร์ทโฟนเข้ากับคอมพิวเตอร์
ไอโอเอสของเรา#0วันเงินรางวัลหมดอายุแล้ว & เรามีทีมที่ชนะหนึ่งทีมที่สร้าง iOS 9.1/9.2b บนเบราว์เซอร์ระยะไกล#แหกคุก(ไม่มีการเชื่อมต่อ) ยินดีด้วย!
— ซีโรเดียม (@Zerodium)2 พฤศจิกายน 2558
ความสำเร็จทางเทคนิค
งานนี้เห็นได้ชัดว่าซับซ้อนมาก เนื่องจากจำเป็นต้องค้นหาช่องโหว่แบบ Zero Day หนึ่งรายการหรือมีแนวโน้มมากกว่าหลายรายการ (จนถึงตอนนั้นยังไม่ทราบ) เพื่อให้สามารถดำเนินการจากระยะไกลบน iPhone ได้ สิ่งที่น่าประทับใจที่สุดคือ “การโจมตี” นี้เกิดขึ้นผ่านเว็บเบราว์เซอร์ ทำให้ใช้งานได้ง่ายกว่าการเลี่ยงการรักษาความปลอดภัยและทำให้เจ้าของ iPhone ติดตั้งแอปพลิเคชันที่ถูกบุกรุก
Chaouki Bekrar ผู้ก่อตั้ง Zeroodium และ Vupen Security กล่าวเมนบอร์ด-“การเปิดใช้งานการเจลเบรกผ่าน Safari หรือ Chrome ต้องใช้ช่องโหว่เพิ่มเติมอย่างน้อยสองหรือสามครั้งเมื่อเปรียบเทียบกับการเจลเบรกในเครื่อง”- ดูเหมือนว่าแฮกเกอร์พบข้อบกพร่องใน Chrome และ iOS เพื่อหลีกเลี่ยงอุปสรรคด้านความปลอดภัยในตัว
หนึ่งในโฆษณาที่ดีที่สุดสำหรับ Apple
Zeroodium มีโมเดลทางเศรษฐกิจเดียวกันกับ Vupen รุ่นก่อน เธอจ่ายราคาที่สูงมากสำหรับการเอารัดเอาเปรียบ ซึ่งแน่นอนว่าเธอจะขายให้กับรัฐหรือหน่วยงานของรัฐในราคาที่สูงกว่ามาก Vupen จึงทำงานร่วมกับ NSA ในช่วงเวลาที่ความยุติธรรมและหน่วยงานในอเมริกากดดันให้ Apple ติดตั้งประตูหลังในโทรศัพท์ของตนเพื่อรับประกันว่าเจ้าหน้าที่จะเข้าถึงตัวผู้สอบสวนได้ ข่าวดังกล่าวไม่ได้ทำให้คุณยิ้มได้เสมอไป
อย่างไรก็ตาม สำหรับเชาอูกิ เบกราร์“ความท้าทายนี้เป็นหนึ่งในโฆษณาที่ดีที่สุดสำหรับ Apple เพราะมันยืนยันอีกครั้งว่าความปลอดภัยของ iOS นั้นจริงจังและไม่ใช่แค่การตลาดเท่านั้น ไม่มีซอฟต์แวร์อื่นใดนอกจาก iOS ที่สมควรได้รับระดับพรีเมียมขนาดนี้ »-
ผู้ใช้ iPhone, iPad และ iPod touch ที่ได้รับผลกระทบหลายล้านรายอาจไม่เห็นด้วย เนื่องจากการใช้ประโยชน์ดังกล่าวทำให้ความปลอดภัยและความเป็นส่วนตัวตกอยู่ในความเสี่ยง แม้ว่า Apple และ Google อาจแก้ไขช่องโหว่ที่ใช้ในไม่กี่สัปดาห์หรือเดือนข้างหน้าก็ตาม ในกรณีนี้งานจะไม่ง่ายเนื่องจากวิศวกรของทั้งสองกลุ่มไม่รู้ว่าจะต้องค้นหาและแก้ไขอะไรกันแน่
มากพอที่จะเป็นกังวลกับอุปกรณ์ที่เราใช้งานในแต่ละวันจริงๆ อย่างไรก็ตาม ยังมีความหวังอยู่เล็กน้อย Jonathan Zdziarski นักวิจัยด้านความปลอดภัยที่ทำงานอย่างกว้างขวางเกี่ยวกับผลิตภัณฑ์ของ Apple ระบุเพื่อตอบสนองต่อทวีตที่ประกาศความสำเร็จของ Zeroodium:“จำไว้ว่า จนกว่าชื่อจะถูกเปิดเผย มันไม่มีอะไรมากไปกว่าการแสดงความสามารถในการประชาสัมพันธ์”- แต่ Zerodium ซึ่งกำลังพิจารณาที่จะขยายโครงการล่าเงินรางวัลนี้อยู่แล้ว ไม่ได้ตั้งใจจะพูดอะไรมากกว่านี้ เก็บเป็นความลับ ตำหนิมีมูลค่ากว่าล้านดอลลาร์
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
