ロジャー・フィンガス
· 1分で読めます
匿名のチームが、iOS 9.1 および 9.2 ベータ版のゼロデイ脆弱性に対して 100 万ドルの賞金を要求した。この脆弱性により、誰かがインターネット経由で Apple デバイスの脱獄を実行できる可能性がある。
この報奨金は、自らを「プレミアム・ゼロデイ脆弱性・エクスプロイト取得プログラム」と謳うスタートアップ企業Zerodiumによって提供された。Zerodiumの創設者Chaouki Bekrar氏はMotherboardに対し、報奨金は9月21日に初めて発表されたが、期限切れの数時間前となる今週末になってようやく申請されたと語った。
ルールでは、ハッキングはSafari、Chrome、またはSMS/MMSメッセージ経由で行われなければならないと定められていました。そのため、賞金獲得は非常に複雑になり、未発見のバグを複数発見することが求められました。10月中旬には、2つのチームが同じ問題でブロックされたこともありました。
優勝チームはChromeとiOSの脆弱性を組み合わせ、ブラウザベースの脱獄ツールを開発しました。このツールは現在、懸賞金の条件を満たしているか二重チェック中です。ベクラー氏は、この技術の詳細や、誰に販売する予定なのかについては明らかにしませんでした。
しかし、Zerodiumは政府機関の顧客への販売に重点を置いていると報じられており、その前身であるVUPENはかつて米国国家安全保障局を顧客としていた。
これは、NSA やその他の政府機関が、フルディスク暗号化などの iOS 9 のセキュリティ保護を回避し、盗聴アプリをインストールしたり、デバイスを破壊したりできるようになる可能性があることを意味します。
しかしベクラー氏は、Appleはおそらく「数週間から数カ月」以内に関連するiOSのセキュリティホールを修正するだろうと示唆し、この報奨金は実際にはAppleの取り組みに対する功績であると主張した。
「このチャレンジはAppleにとって最高の宣伝の一つです。iOSのセキュリティは単なるマーケティングではなく、現実のものだということを改めて証明したのです」と彼は述べた。「iOS以外に、これほど高額なバグ報奨金に値するソフトウェアはありません。」
リモートジェイルブレイクは iOS では珍しくなってきており、最後に知られている手法は iOS 7 で利用可能でした。
