¿Android es más seguro que iOS? Ahora pagan más por encontrar fallos en Android

Software

Encontrar vulnerabilidades graves en sistemas operativos que usan miles de millones de dispositivos en todo el mundo es algo que vale mucho dinero. Google, Apple o Microsoft pagan a quienes encuentren estos fallos, pero hay otras empresas que compran las vulnerabilidades a un precio mucho mayor. Ahora, las que más dinero dan son las de Android en lugar de las de iOS.

Zerodium ahora paga 2,5 millones por hackear Android, y «sólo» 2 millones por hackear iOS

Así lo ha revelado Zerodium en una nueva subida de precios que viene motivada principalmente por dos cambios. El primero es que la propia Apple está ofreciendo hasta 1 millón de dólares a quien encuentre las vulnerabilidades más graves en iOS. La segunda es que Android es cada vez más seguro y difícil de hackear.

android vulnerabilidad

Estas vulnerabilidades existen. Google mismamente descubrió varias de ellas en iOS hace dos meses, las cuales les habrían reportado hasta 6 millones de dólares si se las hubieran vendido a Zerodium. Por suerte, la finalidad de Project Zero es hacer el software que usamos a diario más seguro, y por ello se las comunicaron a Apple.

Sin embargo, para hackers independientes cada vez es más difícil encontrarlas, y son grandes grupos de hackeo con empresas como Google o gobiernos detrás los que las consiguen encontrar. Estos últimos suelen usarlas para hackear dispositivos de países enemigos, como hace Estados Unidos, Rusia o China.

Hasta ahora, Zerodium pagaba 2 millones de dólares por encontraren iOS una vulnerabilidad de día cero, sin requerir click por parte del usuario, y con persistencia, que permitiese control completo del móvil. Sin embargo, esta categoría no estaba presente para Android, la cual ahora sí lo está con la nueva entrada, pagando hasta 2,5 millones de dólares. A su vez, una nueva categoría para iOS ofrece hasta 500.000 dólares por exploits con persistencia.

También se ha subido lo que pagan por una vulnerabilidad de día cero que no requiera clicks en WhatsApp y en iMessage, pasando de 1 a 1,5 millones de dólares en ambos casos. Curiosamente, se ha bajado el precio de dos categorías en Apple. La primera es la de un fallo de día cero que requiera un click, que pasa de 1,5 a 1 millón de dólares. La segunda es la misma de iMessage de antes, pero que requiera un click, pasando de 1 millón a 500.000 dólares.

Durante años, iOS se ha considerado como el sistema operativo más seguro. Sin embargo, en los últimos meses, Zerodium ha observado que se han encontrado varios exploits en Safari y en iMessage. El mercado de exploits está tan saturado que están rechazando incluso algunos de ellos, y ese es el motivo por el que han bajado el precio.

Android es cada vez más difícil de hackear, y Safari es un coladero en iOS

Sin embargo, Android está siguiendo el camino contrario, y el fundador de Zerodium, Chaouki Bekrar, afirma que es más difícil encontrar una cadena completa de exploits para Android, y es casi imposible crear uno que no requiera interacción del usuario (zero-click). El precio de los 2,5 millones de dólares es para dispositivos de compañías como Google, Samsung, Huawei o Sony. Para el resto de compañías habría que discutir el precio.

En 2015, la compañía pagaba 500.000 dólares por una vulnerabilidad de este tipo en iOS, y 100.000 dólares en Android. Cuatro años después, la situación es al revés. Un investigador de seguridad de Q-Recon afirma que la situación está cambiando en el mercado también, donde la mayoría de objetivos son Android, pero cada vez hay menos y menos vulnerabilidades porque todas acaban parcheadas. Además, Safari es mucho más inseguro que Chrome, siendo esta una vía de entrada en iOS. Chrome es casi impenetrable.

Además de todo esto, lo que ha hecho más caros los exploits en Android es encontrar fallos que permitan escalar privilegios de manera local; es decir, un fallo que permita pasar de ser usuario local a tener privilegios de administrador y hacer lo que se quiera con el móvil. Si a eso le sumas que no puedes ni siquiera meter el pie en el móvil por tener una seguridad bien férrea, pues el hackeo es casi imposible.

Esto demuestra, por tanto, que el ser open-source ha beneficiado finalmente a Google, y Apple ha tenido que abrirse más a los desarrolladores ofreciéndoles iPhone más fáciles de hackear para poder encontrar ellos los fallos antes que los hackers que busquen aprovecharse de ellos.

Escrito por Alberto García

Fuente > Wired