Het Evad3rs-team, dat onder meer de meest recente jailbreak voor iOS heeft uitgebracht, heeft een aantal kwetsbaarheden op de plank liggen om de eerstvolgende versie van iOS te jailbreaken. Het team wacht echter met het uitbrengen tot de eerstvolgende grote update.
Het team zegt 'twee of drie' grote kwetsbaarheden op de plank te hebben liggen voor de eerstvolgende jailbreak, mogelijk geschikt voor het nog onaangekondigde iOS 7.0. Dat zei een van de leden van het team, bekend als 'Musclenerd', tegenover Tweakers tijdens de Hack in the Box-conferentie in Amsterdam. "We hebben echter nog niet alles om een volledige jailbreak te plegen", erkent Musclenerd, wiens echte naam Eric is. Hij noemt de bugs die het team heeft gevonden echter 'interessant'. Zijn teamgenoot Cyril, alias 'Pod2g', zegt onder meer 'interessante dingen' in de browser te hebben aangetroffen.
Om een iPhone te jailbreaken, moeten kwetsbaarheden in de code worden gevonden die kunnen worden misbruikt om bijvoorbeeld het draaien van ongeautoriseerde code mogelijk te maken. Die kwetsbaarheden worden nadat ze in een jailbreak worden gebruikt, meestal snel gedicht. Daarom wacht het team met het uitbrengen van een nieuwe jailbreak tot de eerstvolgende grote versie. Het heeft volgens hen geen zin om voor iOS-versie 6.1.3 een jailbreak uit te brengen terwijl er waarschijnlijk binnenkort een grote update uitkomt. Anders zou het zonde van de tijd zijn, zegt een van de teamleden.
Tegelijkertijd geven de teamleden toe dat de kans bestaat dat Apple de gevonden bugs oplost voordat ze kunnen worden misbruikt door het team. Ook erkent teamlid pod2g dat er ethische bezwaren kleven aan het niet rapporteren van gevonden beveiligingsproblemen. Die kunnen immers ook zijn gevonden door kwaadwillenden en worden misbruikt, terwijl het beveiligingsprobleem zou kunnen worden opgelost als de jailbreakers de bug zouden rapporteren aan Apple. "Maar als we onze zero days aan Apple zouden geven, zouden we geen jailbreak meer kunnen ontwikkelen", aldus pod2g. Een zero day-probleem is een beveiligingsprobleem dat nog niet bekend is.
Volgens medeteamlid David Wang, alias Planetbeing, zijn veel van de beveiligingsproblemen die het team vindt daarnaast niet geschikt voor kwaadwillenden. "Er bestaat overlap tussen de bugs die wij interessant vinden en de beveiligingsproblemen die kwaadwillenden interesseren, maar die overlap is niet 100 procent", aldus Wang. Zo is voor sommige bugs die de teamleden vinden het unlocken van het scherm nodig om deze te kunnen misbruiken.