Iemand heeft 1 miljoen dollar gekregen voor het hacken van de iPhone

Apparaten van Apple staan er bekend om dat ze extreem moeilijk te hacken zijn. Maar, zoals één van de wetten van het internet luidt, alles is te hacken – zelfs de nieuwe iPhone.

Afgelopen weekend eiste iemand een prijs van 1 miljoen dollar op, die was uitgeloofd door een startup met de naam Zerodium. Chaouki Bekrar, oprichter van het bedrijf en een notoire handelaar in nieuwe beveiligingslekken, bevestigt dit aan Motherboard.

Our iOS #0day bounty has expired & we have one winning team who made a remote browser-based iOS 9.1/9.2b #jailbreak (untethered). Congrats!
— Zerodium (@Zerodium) 2 november 2015

De uitdaging van Zerodium was het vinden van een manier om een nieuwe iPhone of iPad die draait op de nieuwste versie van iOS, het mobiele besturingssysteem van Apple, op afstand te hacken. De hacker moest daarmee in staat zijn om iedere app die hij wil te installeren op het apparaat, zonder dat hij toestemming van de gebruiker nodig had. Volgens de voorwaarden van de wedstrijd, moest het beveiligingslek via Safari, Chrome of een SMS uitgebuit worden.

Volgens Patrick Wardle, een onderzoeker die bij beveiligingsbedrijf Synack werkt, kwam de wedstrijd er in de praktijk op neer dat er een serie van nog niet bekende veiligheidslekken gevonden moest worden. Eén enkele bug was niet genoeg om de wedstrijd te winnen. Pangu, een hackersteam uit China, had bijvoorbeeld al een manier gevonden om de nieuwe iPhone te hacken, maar die methode werkt niet op afstand.

Met andere woorden, het was dus geen makkelijke wedstrijd. Sterker nog, halverwege oktober zei Bekrar tegen ons dat niemand de prijs nog had opgeëist. Hij was toen wel in contact met twee teams die los van elkaar werkten. Beide teams zaten volgens Bekrar toen vast op hetzelfde struikelblok.

"Om de jailbreak op afstand te laten werken, zijn minimaal twee of drie beveiligingslekken meer nodig dan bij de gewone jailbreak," vertelt Bekrar me via twitter.

Uiteindelijk slaagde één van de teams erin om het voor elkaar te krijgen.

"Het winnende team heeft de lekken uiteindelijk maar een paar uur voor het verstrijken van de deadline ingestuurd," aldus Bekrar.

Volgens Bekrar heeft het winnende team uiteindelijk "meerdere beveiligingslekken" gevonden in Chrome en iOS waarmee ze "bijna alle beveiliging" in het systeem konden omzeilen.

Als dit waar is, is het best bijzonder. Niemand heeft dit namelijk sinds iOS 7 voor elkaar weten te krijgen.

Veel technologiebedrijven, zoals Facebook en Google, kiezen ervoor om prijzen uit te loven voor vriendelijke hackers die de bedrijven vertellen wanneer ze een lek vinden. Vervolgens kunnen de bedrijven de lekken gaan dichten. Er bestaan ook verschillende tussenpersonen, zoals HackerOne en Bugcrowd, die als platformen dienen om het vinden van bugs te crowdsourcen.

Bedrijven zoals Zerodium van Bekrar hebben een ander businessmodel. Zij bieden hogere bedragen voor de beveiligingslekken en houden ze vervolgens geheim. Ze delen hun informatie alleen met een handje vol klanten binnen de overheid. De NSA bijvoorbeeld.

Bekrar wilde niets kwijt over de identiteit van de hackers die de prijs hadden gewonnen. Ook gaf hij geen details over de gevonden beveiligingslekken, noch wilde hij zeggen voor hoeveel geld hij deze informatie wil verkopen.

Maar dit beveiligingslek is ongetwijfeld veel geld waard. Inlichtingendiensten zoals de NSA en de CIA vinden het moeilijk om de iPhones van hun verdachten te hacken. De FBI klaagt al maanden over de versleuteling van Apple. Met het gevonden lek kunnen ze dit omzeilen en bij alle data, de berichten bekijken en de telefoon aftappen van hun verdachten.

Een bron van Motherboard is een oud-medewerker van de NSA. Hij zegt dat 1 miljoen dollar een goede prijs is, maar dat je er veel meer voor kan krijgen "als je het aan de juiste mensen verkoopt."

Apple heeft niet gereageerd op een verzoek om commentaar.

Bekrar zegt dat Zerodium de beveiligingslekken nog aan het testen is, om de kijken of het allemaal aan de voorwaarden van de wedstrijd voldoet.

Hij voegt toe dat Apple de lekken waarschijnlijk "binnen een paar weken tot een paar maanden" zal dichten.

"Deze uitdaging is goede reclame voor Apple, omdat wederom blijkt dat de beveiliging van iOS heel sterk is en dat het dus niet alleen een marketingpraatje is," aldus Bekrar. "Voor geen andere software dan iOS zo'n hoge prijs geoorloofd."

Wardle, de directeur van beveiligingsbedrijf Synack, zegt wel dat het besturingssysteem van Apple niet van nature veel veiliger is. Met iedere update dicht Apple "duizenden beveiligingsproblemen" en daarmee heeft iOS niet zozeer minder bugs dan andere besturingsystmen, aldus Wardle.