La società di sicurezza Exodus Intelligence offre fino a 500.000 dollari per informazioni su vulnerabilità zero-day in iOS. L’azienda, con sede in Texas ha annunciato questa settimana ricompense tra i 5mila e i 500mila dollari per vulnerabilità zero-day relative a iOS versione 9.3 o superiore.

Gli zero-day a cui è interessata Exodus sono falle di sicurezza nel software che sono passate inosservate da parte di Apple. Questi li rende potenzialmente molto preziosi, soprattutto per i cyber criminali che li possono utilizzare per attaccare gli iPhone.

Le ricompense promesse da Exodus superano quelle proposte da Apple nel suo recente annuncio di un “bug program”. Apple offre fino a 200.000 dollari per vulnerabilità critiche in iOS. Per assicurarsi di ricevere risultati di qualità, inizialmente Apple ha invitato a partecipare al programma solo poche decine di ricercatori. Tuttavia anche chi non è invitato direttamente può presentare i risultati delle proprie ricerche e aspirare alla ricompensa da parte di Apple.

E’ la prima volta che Apple annuncia un programma bug bounty. Altri giganti tecnologici, tra cui Google e Microsoft, li propongono da anni come un modo per incoraggiare gli hacker a segnalare i bug, piuttosto che venderne i dettagli a malintenzionati.

Tuttavia, le vulnerabilità zero-day sono utili anche per società di sicurezza private. L’attività di Exodus Intelligence consiste nell’avvisare i clienti di minacce critiche prima ancora che siano note a fornitori di software e hacker.

exodus lista

L’azienda afferma che può mettere in guardia i clienti dei difetti fino a due anni prima. Il suo programma bug bounty offre anche ricompense per le vulnerabilità zero-day relative ai browser Google Chrome e Microsoft Edge.

Exodus Intelligence non è l’unica società di sicurezza privata che offre alte ricompense per i bug. L’anno scorso, Zerodium ha annunciato che avrebbe pagato 1 milione per un modo esclusivo, basato su browser, di compromettere iOS di Apple.

Allo scadere dei termini previsti il premio non è stato consegnato, ma Zerodium offre ancora 500.000 dollari per vulnerabilità zero-day in iOS.

Questi difetti possono essere utili anche ad autorità e agenzie governative. Per esempio, nel caso dell’iPhone del terrorista di San Bernardino, si dice che l’FBI abbia pagato degli hacker per sfruttare un difetto sconosciuto di iOS e sbloccare l’iPhone dell’attentatore.