Craccare un iPhone e guadagnare 1.5 milioni di dollari. E’ l’offerta della Zerodium, una società di ricerca bug specializzata, che triplica i prezzi per craccare iOS e raddoppia le taglie su Android, arrivando a 200.000 dollari.

E’ una gara. Chi riesce a craccare un iPhone guadagna 1.5 mln di dollari

La controversa Zerodium è arrivata ad offrire 1,5 milioni di dollari per chi riuscirà a craccare un iPhone o un iPad con successo – una taglia che è il triplo rispetto a quella precedente. Zerodium ha raddoppiato anche la ricompensa per chi riuscirà a scoprire vulnerabilità ancora sconosciute sul sistema operativo Android (200.000 dollari) – e stessa cosa ha fatto per il craccaggio di Adobe Flash media player, salito da 50.000 a 80.000 dollari. Dopo aver comprato il craccaggio, l’azienda lo vende ai governi, che lo usa per controllare sospetti criminali, terroristi e altri obiettivi. L’anno scorso , Zerodium ha offerto 1 milione di dollari per craccare un iPhone, fino ad un totale di 3 milioni; la taglia è poi scesa a 500.000 dopo aver ricevuto e pagato tre attacchi di successo.

Il fondatore di Zerodium Chaouki Bekrar conferma che la maggiorazione delle “taglie” è una risposta ai miglioramenti raggiunti dai produttori di software – Apple e Google in particolare – diventati particolarmente abili nell’impedire la compromissione dei loro prodotti. “I prezzi sono strettamente collegati alla difficoltà di creare una catena continua di craccaggi e sappiamo che iOS 10 e Android 7 sono molto più difficili da craccare delle loro versioni precedenti”.

Perché i premi per craccare un iPhone sono più alti rispetto ad un device Android?

Risponde Bekrar: “Può voler dire sia che un iOS 10 è 7,5 volte più difficile da craccare rispetto a un Android, oppure che la domanda per craccare un iOS è 7,5 volte più alta. In realtà è un insieme delle due cose.”

Le cifre pagate dagli sviluppatori sono sempre una piccola frazione rispetto a quelle pagate da aziende cacciatrici di bug come Zerodium. Per esempio, le taglie di Apple arrivano a 250.000 dollari, un sesto di quanto sta offrendo Zerodium, mentre Google arriva a pagare 38.000 dollari (il 15% di Zerodium). Da qui l’opinione comune che i programmi di ricerca delle grandi aziende siano in realtà portati avanti dagli hacker.

C’è una differenza sostanziale però tra le taglie sponsorizzate da aziende cacciatrici di bug e taglie lanciate dagli sviluppatori: per craccare un iPhone in modo da ottenere la ricompensa di Zerodium, per esempio, l’attacco dev’essere completamente furtivo, in modo da dare all’hacker il controllo completo sul device obiettivo (in gergo si parla di “weaponized exploit”) – non basta, insomma, fornire una breve descrizione delle vulnerabilità: l’attacco dev’essere perfetto. Le taglie pagate da Apple e Google non richiedono la mole di lavoro necessaria per queste azioni e, di conseguenza, sono inferiori.

Craccare un iPhone e la sicurezza nazionale

C’è un altro aspetto da tenere presente. Gli attacchi comprati dai cercatori di bug possono essere rivenduti a governi poco affidabili e con precedenti di abusi (su Twitter trovate la discussione relativa). In agosto, per esempio, i ricercatori hanno scoperto una catena di attacchi contro utenti iOS in zone selvagge. L’attacco, sviluppato da un’azienda statunitense che si stima abbia pagato 8 milioni di dollari per ottenere 300 licenze, è stato scoperto solo dopo aver colpito un dissidente politico negli Emirati Arabi Uniti.

In tutta franchezza, Bekrar ha affermato che l’iOS utilizzato in quell’occasione non aveva alcuna connessione con Zerodium – ciononostante, più di un osservatore resta critico nei confronti di Zerodium e dei suoi competitor, dal momento che le persone non vorrebbero essere coinvolte in alcuno spionaggio governativo. Bekrar si difende ribadendo l’importanza di questi attacchi per i governi dal punto di vista della sicurezza nazionale e della caccia ai criminali.

Un’altra differenza tra Apple e Zerodium, è che le taglie Apple più cospicue sono riservate alla ricerca di vulnerabilità nelle componenti di sicurezza che proteggono un dispositivo perduto o rubato – mentre Zerodium è piuttosto interessata nel craccare un iPhone o un Web browser da remoto.Nonostante le differenze, Zerodium rilancia la posta per un mercato che è già a livelli altissimi, lasciando che una buona fetta degli sforzi di hackeraggio restino nell’ombra – complici gli sforzi poco convincenti di Apple e Google nel rendere più sicuri i propri prodotti.