A Trend Micro Zero Day Initiative (ZDI) elnevezésű kezdeményezése hosszú évek óta díjazza különböző módokon azokat az informatikai biztonsági kutatókat, akik korábban ismeretlen sebezhetőségeket tárnak fel, és közvetett módon segítik azok befoltozását. A ZDI ugyancsak évitizedes múltra visszatekintő Pwn2Own hackerversenyének jelenleg is zajló eseménye, az ötödször megrendezett Mobile Pwn2Own ezúttal összesen 500 ezer dollárt (több mint 140 millió forintot) hozhat azoknak a hackereknek, akik sikeresen veszik az akadályokat.

Az első százast már elvitték

A Japánban tartott PacSec biztonsági konferencián helyet kapott Mobile Pwn2Own az idén a Google Nexus 6P, az Apple iPhone 6S és a Samsung Galaxy S7 feltörését tűzte ki célul, méghozzá elég szigorú feltételek szerint.

A résztvevő csapatoknak a legújabb kiadású, naprakészen frissített operációs rendszereket kell térdre kényszeríteniük, az egyes feladatok szerint érzékeny információk kinyerésén, kéretlen alkalmazások telepítésén, illetve (az iOS esetében) a készülék kikényszerített függetlentésén keresztül.

Az első látványos eredményre nem kellett túl sokat várni: a kínai Tencent Keen Security Lab csapata a szabályok szerint rendelkezésére álló három, egyenként legfeljebb öt percig tartó próbálkozásából már elsőre is sikeresen telepített egy malware programot a Nexus 6P-re, ráadásul bármilyen felhasználói interakció nélkül, amire egyébként a szabályok lehetőséget adtak volna.

Ezzel máris kerestek maguknak 100 ezer dollárt, és még arra is maradt lehetőségük, hogy a versenyben "stílus pontoknak" nevezett bónuszokat gyűjtsenek (három eredményes kísérlet, kernel szintű hozzáférés stb.)

A legtöbbet az iPhone fizeti

Ugyanez a mutatvány a legújabb iPhone esetében 125 ezer, míg a Galaxy esetében 60 ezer dollárt hozhat a győztesnek; az érzékeny információk kinyerése az S7-esen 35 ezer dollárt, a 6P-n és a 6S-en 50 ezer dollárt ér. (A legfrissebb beszámolók szerint a kínai szakemberek ez utóbbit is megoldották, zsebre téve újabb ötvenezret.)

A legnagyobb falat az iPhone unlock lenne, ahol önmagában 250 ezer dollárt jelentene a sikeres kísérlet.

Szeptember végén mi is beszámoltunk róla, hogy a frissen megjelent iPhone 7-et néhány nappal annak megjelenése után – és szintén nem sokkal az új iOS kiadást követően – feltörte egy 19 éves olasz hacker. Augusztus óta akár 200 ezer dollárt is lehet keresni azzal, ha valaki egy Apple termékben talál biztonsági hibát talál, ugyanis az Apple most indította el saját "bug bounty" programját. Erre azonban a cég szerint úgy is rálicitálnak majd a feketepiac szereplői vagy a kormányzati szervek.