Các sản phẩm của Apple thường được đánh giá cao về mức độ bảo mật, từ nền tảng di động iOS đến hệ điều hành OS X. Tuy nhiên, trên thực tế mọi sản phẩm phần mềm đều ẩn chứa các lỗ hổng bảo mật có thể khai thác, vấn đề là có thể tìm ra được chúng hay không. Đó là lý do hãng bảo mật mới được thành lập Zerodium đã trao giải thưởng lên đến 1 triệu USD cho ai có thể phát hiện lỗ hổng bảo mật và hack thành công vào nền tảng iOS 9 mới được phát hành của Apple.
“Apple iOS, giống với các hệ điều hành khác, luôn bị ảnh hưởng bởi các lỗ hổng bảo mật, tuy nhiên dựa trên số lượng những cải thiện về bảo mật và khắc phục kịp thời các lỗ hổng nên iOS của Apple hiện đang là nền tảng di động an toàn nhất thế giới”, Zerodium giải thích về lý do lựa chọn nền tảng iOS của Apple để làm mục tiêu cho giải thưởng. “Nhưng đừng để bị đánh lừa, an toàn không có nghĩa là không thể bị phá vỡ. Nó chỉ có nghĩa rằng cần phải có những trình độ cao hơn để có thể khai thác các lỗ hổng bảo mật trên iOS.
Zerodium là hãng bảo mật vừa được thành lập trong mùa hè năm nay bởi Chaouki Bekrar, một chuyên gia bảo mật nổi tiếng trong việc khai thác các lỗ hổng bảo mật trên phần mềm. Công ty này cho biết đã chuẩn bị sẵn số tiền 3 triệu USD để trả cho 3 cá nhân hoặc các nhóm hacker có thể tấn công thành công vào nền tảng iOS 9 mới nhất của Apple.
Chaouki Bekrar cũng là nhà sáng lập của công ty bảo mật Vupen, có trụ sở tại Pháp, là một công ty gây nhiều tranh cãi khi khai thác các lỗ hổng bảo mật sau đó bán chúng đi để kiếm tiền.
Mục tiêu của cuộc thi mà Zerodium tổ chức cũng nhằm mục đích tìm kiếm các lỗ hổng bảo mật trên iOS để có thể bán chúng đi. Điều đáng nói là 2 công ty của Bekrar không bán những lỗ hổng bảo mật này cho “cha đẻ” của các phần mềm, hệ thống bị ảnh hưởng, mà thay vào đó bán cho bất kỳ ai nếu được giá, cho dù đó là một cơ quan thực thi pháp luật, một cơ quan gián điệp hoặc một công ty nào đó. Điều này sẽ gây áp lực lên các hãng phần mềm lớn, buộc họ phải bỏ ra một số tiền lớn hơn để mua lại lỗi bảo mật trên sản phẩm của mình.
Christopher Soghoian, Giám đốc công nghệ của Hiệp hội Các quyền tự do Dân sự Mỹ đã gọi mô hình kinh doanh của Vupen và Zerodium là “kinh doanh cái chết thời hiện đại”, khi mà các lỗ hổng bảo mật được bán đi cho bất kỳ khách hàng nào có thể khiến chúng khó bị kiểm soát và có thể bị lợi dụng vào những mục đích xấu.
Trong khi đó nhiều chuyên gia bảo mật nhận định rằng số tiền hấp dẫn lên đến 1 triệu USD sẽ lôi kéo nhiều người tham gia cuộc thi do Zerodium tổ chức và sẽ gây nên những vấn đề nghiêm trọng với các hãng công nghệ về sản phẩm của mình, khi mà trong tương lai sản phẩm của họ có thể trở thành mục tiêu khai thác của những cuộc thi tương tự.
Hiện Apple chưa đưa ra bất kỳ lời bình luận nào về cuộc thi do Zerodium tổ chức mà nền tảng iOS 9 của hãng trở thành “mục tiêu” để khai thác.
Trên thực tế việc mang các sản phẩm thông dụng để khai thác và tấn công sau đó trao giải là điều không quá mới mẻ trong giới công nghệ, tuy nhiên mục đích cuối cùng của các cuộc thi thường là nhằm giúp các hãng phần mềm có thể phát hiện ra các lỗ hổng bảo mật trên sản phẩm của mình để khắc phục kịp thời, thay vì lợi dụng chúng để bán cho bên thứ 3 và kiếm tiền.
Trước đó Google cũng thường xuyên tổ chức các cuộc thi hack mà trình duyệt Chrome và nền tảng Chrome OS của hãng là mục tiêu của các hacker, sau đó Google cũng đã trao những khoản tiền lớn cho những ai phát hiện được những lỗ hổng bảo mật nghiêm trọng trên các sản phẩm của hãng.
