Un team di ricercatori di sicurezza potrebbe aver trovato un modo per penetrare a distanza le difese di iOS 9, il che potrebbe fruttare una ricompensa di 1 milione di dollari.

Il denaro è stato offerto in un concorso organizzato da Zerodium, una società con sede a Washington che è nel controverso business di acquisto e vendita di informazioni sulle vulnerabilità dei software.

Zerodium si è congratulata con la squadra vincente su Twitter, anche se non ha identificato i ricercatori, rendendo di fatto impossibile da verificare la presunta falla di sicurezza in iOS 9.

Al momento Apple non ha rilasciato commenti.

Chaouki Bekrar, fondatore di Zerodium, ha detto via e-mail che l’exploit del team vincente “è ancora in fase test di da parte di Zerodium per verificare e documentare ciascuna delle vulnerabilità sottostanti”.

iOS di Apple è uno dei più impegnativi sistemi da sfruttare, per gli hacker, in quanto l’azienda di Cupertino ha progettato forti difese che rendono iOS difficile da infettare con malware.

zerodium jailbreakZerodium ha lanciato il suo concorso nel mese di settembre, dicendo che avrebbe premiato il primo gruppo che avesse proposto un exploit da remoto, basato su browser. Ciò significa che il codice non autorizzato doveva essere trasmesso a un dispositivo iOS, in modo che l’utente fosse spinto a visitare una pagina web utilizzando Chrome o Safari, o tramite un SMS o MMS inviato al dispositivo, in base alle condizioni di Zerodium.

Nonostante le difficoltà tecniche, in passato gruppi di persone e ricercatori hanno trovato modi per aggirare le difese di Apple per installare applicazioni non approvate, un processo noto come jailbreaking.

Il codice dell’exploit jailbreak è solitamente disponibile al pubblico e coloro che l’hanno sviluppato non sono pagati.

Zerodium, invece, mantiene le vulnerabilità che acquista e le rende disponibili solo ai clienti che si abbonano al suo feed di ricerca sulla sicurezza.

Il premio che la società è disposta a pagare mostra quanto possano essere preziose queste informazioni per altre aziende, organizzazioni e persino Stati nazionali.

Bekrar non ha voluto rivelare molti dettagli, a parte questo: “l’exploit comprende una serie di vulnerabilità che interessano sia il browser Chrome di Google che iOS, e bypassando quasi tutte le difese presenti”.

Bekrar ha fondato anche Vupen, che ha venduto informazioni sulle vulnerabilità ad agenzie governative e altre organizzazioni. Il modello di business di Vupen è stato criticato da alcuni esponenti della comunità della sicurezza, secondo i quali la condivisione di informazioni su vulnerabilità, vendute senza informare i fornitori di software, potrebbe far correre alle persone un rischio inutile se le informazione vengono usate male.