Crowdfense, una startup con sede negli Emirati Arabi Uniti, offre fino a 3 milioni di dollari a chiunque sia in grado di offrire un exploit zero-day su macOS, iOS, Android o Windows.
Gli exploit zero-day sono bug o vulnerabilità sconosciuti agli sviluppatori, in questo caso Google, Apple o Microsoft, e presenti chiaramente sui propri sistemi operativi. Questi exploit consentono ad aziende come Crowdfense di utilizzare tali bug a proprio vantaggio, ad esempio sviluppando strumenti di jailbreak.
Tuttavia, in questo caso, la startup vuole vendere i dettagli alle forze dell’ordine e alle agenzie di intelligence: “Quando penso alle agenzie governative, non penso alla parte militare, penso alla parte civile, che lavora contro il crimine, il terrorismo e cose del genere”, ha detto il CEO di Crowdefense. “Ci concentriamo solo su strumenti volti a svolgere attività legate all’applicazione della legge o di intelligence, non mirati a distruggere o deteriorare la funzionalità e l’efficacia dei sistemi di destinazione, ma solo a raccogliere informazioni utili per le indagini“.
La società è interessata solo agli exploit macOS, iOS, Android e Windows e non è interessata a exploit per dispositivi IoT, di telecomunicazioni, infrastrutture critiche o social media.
L’azienda prevede di adottare un approccio molto diverso da quello di chi è alla ricerca di exploit zero-day. L’obiettivo è massimizzare la trasparenza. Detto ciò, Crowdfense non ha rivelato cosa intende fare con tali exploit. Si sa solo che, per ogni exploit trovato, è previsto un premio da 3 milioni di dollari.
Ricordiamo che anche Apple ha lanciato nel 2016 il proprio programma di bug bounty per scovare bug come gli exploit zero-day. Tuttavia, il programma è stato praticamente ignorato da tutti, in quanto i pagamenti nel mercato nero e in altri gruppi di hacker sono molto più alti dei 200.000 dollari previsti da Apple.
Intanto si scopre che GrayKey, la scatola già utilizzata da molte forze dell’ordine negli USA che permette di scovare le password degli iPhone in pochi giorni (almeno quelle fino a 6 cifre) ha subito un furto di parte del codice e ora gli hacker hanno chiesto un riscatto all’azienda. Tale parte di codice non sembra fondamentale e non ci sono rischi di sicurezza, ma una società di questo tipo non dovrebbe ritrovarsi mai in tali situazioni.