El proveedor de exploits Zerodium (una empresa creada por VUPEN y por Chaouki Bekrar) anunció que durante un mes presentará un programa de recompensas de hasta un millón de dólares por errores en iOS 9 de Apple.

Bekrar dijo en una declaración que existe un presupuesto de 3 millones de dólares disponibles, la convocatoria se cerrará el 31 de octubre o antes si la paga total de los investigadores alcanza la meta de los 3 millones.

"Zerodium pagará un millón de dólares a cada persona o equipo que cree y brinde a Zerodium una exclusividad de jailbreak o de errores basados en el navegador para el último sistema operativo de Apple, el iOS 9 y sus dispositivos", dijo Bekrar.

Para ser elegible, las presentaciones deben incluir una secuencia de vulnerabilidades y exploits desconocidos, inéditos y no reportados que sean capaces de pasar por alto las numerosas mitigaciones nativas de iOS 9, incluyendo ASLR, firma de código y bootchain.

"El exploit/jailbreak debe conducir y permitir un control remoto, privilegios, y la instalación persistente de una aplicación arbitraria (por ejemplo Cydia) en un dispositivo totalmente actualizado a iOS 9", dijo el comunicado. Las condiciones dicen que, los ataques deben comenzar a través de una página web que identifique las versiones móviles de Safari o Chrome o cualquier otra aplicación que sea accesible a través del navegador. Los ataques también pueden iniciar a través de mensajes de texto o archivos multimedia enviados a través de SMS o MMS.

"Todo el proceso del exploit/jailbreak debe ser alcanzable de forma remota, de forma fiable, en silencio y sin requerir interacción del usuario, con excepción de visitar una página web o leer un SMS/MMS," dijo Zerodium.

Los ataques que requieren acceso físico o que se llevan a cabo a través de Bluetooth, NFC o de banda base no son elegibles, dijo la compañía, agregando que los únicos dispositivos en el alcance son iPhone 5 y posteriores, el iPad Aire, Aire 2, las tercera y cuarta generación de iPad y los iPad mini 2 y 4.