Schwarz Hüte Angebot Million-Dollar iOS 9 Bug Bounty

 

 iOS 9 Bug Bounty

” Zwar gibt es keinen Einblick in eine bestimmte Käufer, können wir davon ausgehen, wenn ein Exploit für iOS 9 gefunden wird, Zerodium wird es für viel mehr als (US) verkaufen 1.000.000 $ “, schrieb Loucif Kharouni, Senior Bedrohung Forscher an Damballa, in ein Unternehmen Blog-Post.

“Das Finden einer iOS 9 Sicherheitsverletzung würde schwerwiegende Folgen für Millionen von iPhone-Nutzern, die traditionell aufgrund ihrer” walled garden “Ansatz für Apps erhalten haben einen höheren Grad der Sicherheit als Android haben “, betonte er.

Will Bounty bezahlt werden?

Während Cyberkriminelle sind dafür bekannt, für die Mängel, die verwendet werden können, um ihre Taschen mit Beute säumen auch bezahlen” das ist eine Menge Geld für ein Exploit “, sagte Kharouni TechNewsWorld. “Der Kopfgeld ist ein Weg, um Menschen zu ermutigen, diese Taten zu finden. Gibt es einen besseren Weg, um Menschen zu ermutigen, etwas, als sie eine Menge Geld, es zu tun zu geben, zu tun?”

Wird jemand wirklich eine Million Dollar für eine iOS 9 nutzen?

“Wenn jemand mit ihnen in Kontakt kommt, werden wir sehen, ob das Kopfgeld real ist oder nicht”, sagte Kharouni.

Doch keine Kopfgeldpreis wird es schwierig sein, um zu bestätigen, betonte er. “Jeder, der das Kopfgeld zu sammeln versuchte wollen, anonym zu bleiben, ob er bezahlt wird oder nicht.”

Es ist ein schwieriger Weg für jede Kopfgeldjäger zu wollen Beutel die kühle Millionen Kharouni fortgesetzt. “Es ist eine Herausforderung zu finden, ein Exploit für iOS, denn es ist viel sicherer als Android.”

RAT Jagd

Zerodium hat hohe Standards für die Art der festgelegt Exploits, die für die iOS-9 Kopfgeld zu qualifizieren wäre.

“Für eine Million Dollar, etwas mehr, als etwas, das nur stiehlt Bilder wollen sie,” Kharouni festgestellt. “Sie wollen etwas, das ihnen vollen Zugang zu einem Telefon geben wird, wie eine Ratte.”

Eine Ratte oder Remote Access Trojan, gibt einen Eindringling Fernbedienung über ein Gerät.

Eine Reihe von High-Tech-Unternehmen bieten Prämien an Dübellöcher in ihren Software-Programme zu helfen. Sie können $ 10.000 bis $ 15.000 für eine signifikante nutzen zu zahlen. Diese Beträge stehen im harten Wettbewerb mit der U-Bahn-Markt, aber.

“Ich habe einige Hacker, die behaupten, ein Budget $ 400.000 für Bug Kopfgelder und haben gesehen, bereit, zwei bis drei Mal, was von einer Gesellschaft Kopfgeld bezahlen Programm “, sagte Kharouni.

Weitere Apple-Probleme

Wie Zerodium begann Schleppnetzfischerei für iOS 9 Bugs, war von Apple beschäftigt Auslöschen Sicherheits Feuer.

Zuerst entdeckten sie, dass Hunderte von Apps mit Malware infiziert hatte, seine App hochgeladen Shop.

Dann wird, wie es Rührei zu bereinigen Fehler in der ersten Version von iOS 9, a lockscreen Anfälligkeit wurde in der OS gefunden.

Der bösartige App Problem entstand, nachdem Forscher fanden heraus, dass die chinesischen Entwickler wurden eine gefälschte Version von Xcode Herunterladen, ein Werkzeug von Apple verteilt, um Entwickler arbeiten an iOS-Apps.

Unbekannt an die Entwickler, die gefälschte Version des Tools infiziert die Apps wurden sie mit Malware genannt Schaffung “XcodeGhost.”

Convenience Trumps Sicherheit

Der Grund, die Entwickler wurden die fehlerhaften Tool herunterzuladen war, dass es auf Servern, wo es viel schneller als es könnte von der Apple-Servern in den Vereinigten Staaten.

Wie Apples heruntergeladen werden gehostet ging zu dem Spülen die schädlichen Apps aus ihr Ökosystem, sich verpflichtet, es zu machen, dass der Vorfall in Zukunft nicht wiederholt.

Apple wird sein Einrichten von Servern in China so Entwicklungs-Tools des Unternehmens schneller dort heruntergeladen werden, Senior Vice President für weltweites Marketing Phil Schiller soll gesagt haben letzte Woche.

Obwohl die snafu getrübt Apples Sterling Sicherheits Ruf, es könnte viel schlimmer kommen können, schlug Appthority .

“Angesichts unserer Risikoanalyse Ergebnisse der infizierten Apps über ihre tatsächliche Verhalten, fühlen wir, dass es wäre einfach zu schädlicher Verhaltensweisen, um den Code hinzuzufügen, und wir könnten, dass in der Zukunft zu sehen, aber der Autor des XCodeGhost entschied, sie nicht in den Versionen analysierten wir umsetzen, “, schrieb Andreas Weinlein, Ingenieur bei Appthority.

Quicksand für Bad Apps

” Die jüngsten Exploit auf Apple hat uns gezeigt, dass auch Apple-System kann sehr beeinträchtigt werden leicht “, stellte Filip Chytrý, ein Sicherheitsexperte mit Avast .

” Während dieser Zeit nichts signifikante passiert, es ist eine Erinnerung daran, dass alles unter einem Apple-System könnte möglicherweise machen ein System anfällig “, sagte er TechNewsWorld.

” Wenn Hacker in der Lage, einen Einstieg zu nutzen, alle greifen sie sind der anderen iOS-Geräte – und die Tatsache, dass Apple nicht haben eine große Vielfalt an Produkten macht es einfacher, “. Chytrý wies darauf hin,

, die Verwendung von Apple jedoch” Sandboxing “in iOS bietet seinen Nutzern ein gewisses Maß an Sicherheit vor Angriffen durch Schadprogramme.

“Als Teil der Sandbox-Prozess”, Chytrý sagte, “das System installiert jede App im eigenen Sandbox-Verzeichnis, das als Heimat für die App und wirkt seine Daten. So Malware-Autoren können sensible Daten nicht leicht zugänglich in andere Anwendungen. ”

Lockscreen Snag

Historische Versionen von iOS haben mit lockscreen Schwachstellen betroffen worden ist und dass der Fall war mit iOS 9, zu.

Jose Rodriguez, der einen Lockscreen Bug in iOS 6.1.3 vor zwei Jahren entdeckt, freigelegt das iOS 9 lockscreen Fehler. Er zeigte einen Weg zu umgehen, durch Ausnutzung von iOS 9 fünf Lockscreen -attempt Sperrungsrichtlinien, wenn Siri vom Lockscreen aktiviert. Sobald der Lockscreen umgangen wird, kann ein Eindringling Fotos und Kontakte eines Telefons zugreifen.

“Jedes große Upgrade steht für das Potenzial, zu offenbaren und zu erhöhen, eine Angriffsfläche ein bestimmtes Gerät, denn Software wird von Menschen gemacht und es gibt Druck des Marktes, um das Gerät auf den Markt bringen – auch wenn es einige kleine Anzahl von Bugs, die noch nicht gefunden werden “, erklärte Cameron Camp, ein leitender Forscher mit Eset

.” Nein Verriegelung Technologie-Implementierung ist perfekt “, sagte er TechNewsWorld”, und mit jedem neuen Ansatz, gibt es wahrscheinlich Bugs auf dem Weg sein. Wir hoffen, dass verantwortungsvolle Offenlegung und Code-Reviews dienen dazu, die Belichtungszeit zu minimieren und schnell einzusetzen Patches für die Verbraucher zu helfen. ”

Breach Tagebuch

    • 21. September . Sophos Wiederaufleben der Facebook-Berichte” Abneigung “-Taste Betrug Web-Surfer versuchen, auf die Schaltfläche Installieren umgeleitet werden, um Websites, auf die persönlichen Informationen von ihnen zu schmeicheln versucht-und-Schalter Köder

September 21 beliebtesten Foto-Sharing-Website Imgur berichtet es bösartigen Javascript von Website, die ihren Besuchern die Computer infiziert und nutzte sie, um in der DDoS-Attacken auf Hacker teilnehmen Wasserstellen 4chan und 8CHAN entfernt.

  • September . 21. US-Handelsministeriums National Institute of Standards and Technology (NIST) kündigt Vergabe von fast US $ 3.700.000 für die drei Pilotprojekte Online-Transaktionen sicherer und Private für Gesundheitswesen, öffentliche Verwaltung, Transport und das Internet von zu machen, Dinge,
  • September 22 Trend Micro Mitteilungen Bericht einschließlich Feststellung, dass Kredit- und Debitkarten Verletzung Vorfälle haben 169 Prozent in den letzten fünf Jahren zugenommen
  • September 22 RT Jones Hauptstadt Equities-Management zustimmt.. zahlen $ 75.000 und zensiert, um Ladungen, die durch die US Securities and Exchange Commission eingereicht niederlassen werden. Die Wertpapierfirma angeblich versäumt, eine Cyber-Politik im Ort haben, wenn eine Datenschutzverletzung bei einem Drittanbieter beeinträchtigt Daten von 100.000 Menschen, darunter auch einige seiner Kunden.
  • September 22 Apples Senior Vice President für weltweites Marketing Phil Schiller sagt chinesische Veröffentlichung Sina, dass sein Unternehmen unternimmt Schritte, um Wiederholung des Vorfalls, wo gefälschte Versionen von Werkzeug einem Apple-Entwickler verwendet wurde, zu vermeiden um Programme hochgeladen, um den Apple App Store. infizieren
  • September 23 US Office of Personnel Management berichtet 5,6 Millionen Fingerabdruckdatensätzen wurden in massiver Verstoß gegen Regierungscomputersysteme im Juni gestohlen, 4,5 Millionen mehr als ursprünglich gemeldet.
  • September 23. Provinzregierung von British Columbia, Kanada zeigt einen unverschlüsselten Festplatte mit persönlichen Informationen über 3,4 Millionen Studenten ist verschwunden. Die Regierung sagt, Laufwerk sollte in einem verschlossenen Lager befinden, aber, wenn sie für die es sah, es war nicht da.
  • September 23. Galen Marsh bekennt sich schuldig in einem New Yorker Bundesgericht für die unbefugte Entnahme von 730.000 Datensätzen von Morgan Stanley. Die Investmentbank sagt, keine Kunden kein Geld verloren, als Folge des Vorfalls.
  • September 23. US-Bezirksgericht in Pennsylvania Regeln Fifth Amendment, das die Regierung von zwingenden Bürger Bars selbst belastende Aufnahmen zu machen, schützt Passwörter auf gesperrten Smartphones.
  • September 24 PR Newswire setzt die Passwörter für alle Journalisten auf seinem System. Der Service war eine von mehreren Nachrichtenagenturen von ausländischen Hackern, die Informationen für Insider-Handel an US-Börsen durchbrochen.
  • September 25. Präsident Barack Obama und Präsident von China Xi Jinping zu verkünden “gemeinsames Verständnis” zur Bekämpfung von Diebstahl geistigen Eigentums über Computernetzwerke.
  • September 25. Sicherheits-Blogger Brian Krebs berichtet Banken haben ein Muster von Kreditkartenbetrug am Souvenirshop und Restaurant Point-of-Sale-Registern bei einer großen Anzahl von Hilton Hotels und Franchise-Immobilien in den Vereinigten Staaten. Hilton bestätigt, Krebs, dass es untersucht die Ansprüche.
  • September 25. Nord Oldham High School in Kentucky beginnt Benachrichtigung 2.800 aktuelle und ehemalige Schüler, die ihre persönlichen Informationen, einschließlich Sozialversicherungsnummern, wurde über einen Webbrowser Angriff auf den Computer eines Ernährungsdienst Mitarbeiters beeinträchtigt wird.
  • September 25. Die Intercept Berichte britischer Spion Agentur GCHQ ist Programm namens “Karma Police” mit Ziel, die Website Surfgewohnheiten der Aufzeichnung läuft “jede sichtbare Benutzer über das Internet.” Bericht stützt sich auf Dokumente, die von Edward Snowden durchgesickert basiert.

 

Die nächsten Sicherheits Events

  • Oktober 2-3. B-Sides Ottawa. RA Center, 2451 Riverside Dr., Ottawa, Kanada. Kostenlos mit registration.Oct. 6. SecureWorld Cincinnati. Sharonville Convention Center, 11355 Chester Rd., Sharonville, Ohio. Anmeldung: Open-Sitzungen, $ 25; Konferenzpass, $ 175; SecureWorld sowie Ausbildung, $ 545.
  • Oktober 6. UK Cyber ​​anzeigen Summit 2015 06.00 Uhr ET. Warwick Business School, 17th Floor, The Shard, 32 London Bridge, London, UK. Anmeldung:. 550 € zuzüglich MwSt
  • Oktober 9-11. B-Sides Warschau. Pastwomiasto, Anders 29, Warschau, Polen. Frei nach Registrierung.
  • Oktober 12-14. FireEye Cyber ​​Defense Summit. Washington Hilton 1919 Connecticut Ave. NW, Washington, DC Anmeldung: vor dem 19. September 1125 $; nach dem 18. September 1500 $.
  • Oktober 13. Schützen Sie Ihre Benutzer von Online-Angreifer. 02.00 Uhr ET. Dunkle Lese Webinar. Frei nach Registrierung.
  • Oktober 14. Neueste DDoS Angriffe Trends – Auszüge aus Arbor ATLAS Globale Statistiken. 10.00 Uhr ET. Webinar von Arbor Networks. Frei nach Registrierung.
  • Oktober 14. Best Practices in DDoS Defense: Real World Kunden Perspektiven. 11.00 Uhr ET. Webinar von Networks gesponsert. Frei nach Registrierung.
  • Oktober 14 Arbor Lösungen für die nächste Dekade der DDoS Defense. 09.00 Uhr ET. Webinar von Arbor Networks gesponsert. Frei nach Registrierung.
  • Oktober 15. SecureWorld Denver. Das Schwebezentrum 2000 Buchtel Blvd., Denver, Colorado. Anmeldung: Open-Sitzungen, $ 25; Konferenzpass, $ 175; SecureWorld sowie Ausbildung, $ 545.
  • Oktober 15-16. B-Sides Los Angeles. Dockweiler Youth Center und State Beach. Kostenlos.
  • Oktober 16-18. B-Sides Washington DC Washington Marriott Metro Center, 775 12th St NW, Washington, DC Gratis.
  • Oktober 17-18. B-Sides São Paulo. Pontifícia Universidade Católica de São Paulo, São Paulo, Brasilien. Kostenlos.
  • Oktober 19-21. CSX Cybersecurity Nexus Conference. Marriott Wardman Park, 2660 Woodley Rd. NW, Washington, DC Anmeldung: vor dem 14. Oktober – Mitglied, $ 1595; Nichtmitglied, $ 1.795. Nach dem 14. Oktober – Mitglied, $ 1795; Nichtmitglied, $ 1995.
  • Oktober 28. Die Cyber-Centric Unternehmen. 08.15 Uhr ET. Virtuelle Konferenz. Frei nach Registrierung.
  • Oktober 28-29. SecureWorld Dallas. Plano Center 2000 East Spring Creek Parkway, Plano, Texas. Anmeldung: Open-Sitzungen, $ 25; Konferenzpass, $ 175; SecureWorld sowie Ausbildung, $ 545.Oct. 28-29. Absichern von New Ground. Konferenz von Security Industry Association gesponsert. Millennium Broadway Hotel, New York City. Anmeldung: nach dem 7. September – Mitglied, $ 1095; Nichtmitglied, $ 1495; CISO, CSO, CIO, 300 $.
  • November 4. Bay Area SecureWorld. San Jose Marriott, 301 South Market Street, San Jose, Kalifornien. Anmeldung: Open-Sitzungen, $ 25; Konferenzpass, $ 175; SecureWorld sowie Ausbildung, $ 545.
  • November 10. FedCyber ​​2015 Annual Summit. Tysons Corner Marriott, 8028 Leesburg Pike, Tysons Corner, Virginia. Anmeldung: 395 $; akademischen, $ 145; Regierung und Militär, kostenlos.
  • November 11-12. Seattle SecureWorld. Meydenbauer Center, 11100 NE 6th St., Bellevue, Washington. Anmeldung: Open-Sitzungen, $ 25; Konferenzpass, $ 175; SecureWorld sowie Ausbildung, $ 545.
  • November 13-14. B-Sides Delaware. Wilmington University, New Castle Campus, 320 Nord Dupont Highway, New Castle, Delaware. Frei nach Registrierung.
  • November 24-25. Cyber ​​Folgen Gateway Conference. ILEC Conference Centre und Ibis London Earls Court, London, UK. Anmeldung: Vor dem 9. Oktober – Endbenutzer, Pounds 1799 zuzüglich Mehrwertsteuer; Lösungsanbieter, Pounds 2799 zuzüglich Mehrwertsteuer. Vor dem 30. Oktober – Endbenutzer, Pounds 1899 zuzüglich Mehrwertsteuer; Lösungsanbieter, Pounds 2899 zuzüglich Mehrwertsteuer. Standard – Endbenutzer, Pounds 1999 zuzüglich Mehrwertsteuer; Lösungsanbieter, Pounds 2999 zuzüglich Mehrwertsteuer.
  • Dezember 12. Bedrohungen und Verteidigungen im Internet. Noon ET. Northeastern University, Burlington Campus, 145 West Bedford St., Burlington, Massachusetts. Anmeldung: $ 6.

Tagged: , , , ,

Leave a Reply

Your email address will not be published. Required fields are marked *

Read previous post:
facebook-story2-582x437
Ihr Facebook-Profil ist im Begriff, Get GIF-Like Fotos

Heute Facebook enthüllt eine ganze Reihe von neuen Funktionen und Steuerelemente für Ihr Profil -einschließlich die Möglichkeit, einen Looping Video......

Close
istanbul evden eve nakliyat