Apple не практикует проведение Bug Bounty-программ, временами лишь указывая пользователя или группу пользователей, нашедших «дыру», в своем официальном тексте патч-ноута к iOS, патч которой эти самые дыры закрывает. Например, так было сделано с iOS 7.1, где компания указывала группу хакеров
evad3rs как пользователя, обнаружившего ошибку. Ироничность ситуации в том, что
evad3rs занимаются созданием джейлбрейка iOS, в том числе и того самого iOS 7.0, позже пропатченного до iOS 7.1.
Но существует и обратная сторона рынка, на которой компании среднего размера, на подобие упомянутого Zerodium, скупают информацию об уязвимостях в ПО для того, чтобы потом перепродать его за бОльшие деньги на так называемом «сером рынке», например,
спецслужбам. Согласно установленным Zeroduim требованиям,
эксплоит должен позволять злоумышленнику удаленно устанавливать произвольное программное обеспечение на устройства под управлением iOS 9, то есть в том числе на новые iPhone 6s и iPad. Кроме того атака должна проходить через браузеры Safari, Chrome, через текстовое или мультимедийное сообщение, bluetooth и NFC. Эксплойт должен обходить защитные механизмы iOS 9, такие как secure bootchain, rootless, ASLR, sandboxing, code signing.
«Еху! кто-то все же определил, сколько стоит единорог», — пошутил специалист по информационной безопасности Педро Вилака (Pedro Vilaça), который также проводил исследования по безопасности «яблочных» операционных систем.
Компания Apple постоянно латает дыры в безопасности своих устройств, не позволяя пользователям выйти из «клетки» их экосистемы и устанавливать пиратский софт. За точку отсчета можно взять 2007 год, когда после выхода новой прошивки 1.1.1 для iPhone, устройства, которые были разблокированы их хозяевами, превратились, буквально, в кирпичи. Хакеры помогли тысячам владельцев iPhone откатиться на прошивку 1.0.2, воскресить их тыквоподобные «iBricks» и безопасно обновиться до версии 1.1.1.
С тех пор Apple не единожды «затягивала» петлю и латала дыры в своих операционных системах для того, чтобы пользователи не смогли пройти мимо магазина приложений и попользоваться чем-нибудь «на халяву». Отдельной паранойи заслуживает проект jailbreakme.com, адрес которого в определенный момент стали блокировать в wi-fi сетях и в магазинах Apple.
Нынешнее предложение Zerodium можно назвать самым щедрым в истории. В последний раз «серые» продавцы эксплоитов предлагали сопоставимую по размерам сумму ($ 500,000.00) аж в 2013 году и тоже за нераскрытую уязвимость в одной из версий iOS.