Zerodium es una de las empresas más importantes del mundo en cuanto a compra de vulnerabilidades se refiere. La compañía va actualizando cada pocos meses los precios que paga por encontrar vulnerabilidades en sistemas operativos y aplicaciones que usamos a diario Cuanto más graves sean, más pagan por ellas. Las de iOS son cada vez más baratas, y ahora hasta han dejado de aceptarlas por haber tantas.
Hace unos meses, Zerodium subió el precio de las vulnerabilidades en Android frente a iOS, ya que en el caso de esta última había muchas gracias a que apps como Safari tenían muchas vulnerabilidades sin parchear. En el caso de Android, es casi imposible escalar privilegios, y las barreras de acceso son cada vez más altas, y por ello pagan más por encontrar vulnerabilidades, como vemos en el gráfico siguiente con hasta 2,5 millones de dólares por una vulnerabilidad FCP en Android, mientras que en iOS por la misma vulnerabilidad se pagan 2 millones.
iOS tiene demasiadas vulnerabilidades: su precio va a bajar
Con iOS, el hecho de que Safari sea un programa de código cerrado hace que haya muchos menos ojos buscando vulnerabilidades, como sí ocurre en Chrome que es de código abierto. Apple pone mucho esfuerzo en la seguridad de su navegador y su sistema, pero Zerodium acaba de afirmar que no acepta más vulnerabilidades del sistema porque tiene demasiadas. La compañía llevaba meses alertando de un aluvión de vulnerabilidades en iOS, y en septiembre se encontró checkm8, un fallo en el sistema que Apple no podía parchear y que permitía realizar jailbreak permanente en casi cualquier iPhone y iPad.
Ahora, meses después de todo aquello, la compañía ha anunciado que no aceptará más envíos durante los próximos 2 o 3 meses de vulnerabilidades para escalada de privilegios locales en iOS (LPE), vulnerabilidades de ejecución de código remoto a través de Safari (RCE), o las que se puedan saltarse el sandbox de las apps.
Zerodium@ZerodiumWe will NOT be acquiring any new Apple iOS LPE, Safari RCE, or sandbox escapes for the next 2 to 3 months due to a high number of submissions related to these vectors.
Prices for iOS one-click chains (e.g. via Safari) without persistence will likely drop in the near future.13 de mayo, 2020 • 14:05
1.1K
399
Además de afirmar que no acepta más, también creen que los precios para vulnerabilidades de un click en iOS sin persistencia bajarán en el futuro. Actualmente esas vulnerabilidades se pagan entre 200.000 y 500.000 dólares.
El confinamiento ha dado más tiempo libre a los hackers
Cuando un hacker descubre una vulnerabilidad en el sistema operativo o en una de sus apps, lo más común suele ser que lo reporte a la compañía para que lo solucionen y proteger a los usuarios. El dilema moral es que Zerodium paga más que las compañías por las vulnerabilidades de día cero (sin parchear), aunque estas últimas han ido subiendo las recompensas para evitar que se vendan vulnerabilidades a este tipo de empresas, donde no se sabe qué hacen con ellas una vez las adquieren. La teoría más viable es que las revendan a otras empresas de ciberseguridad como NSO Group, o incluso directamente a agencias gubernamentales para realizar espionaje.
Y con el confinamiento, seguro que muchos expertos en seguridad han puesto su mirada en iOS para intentar encontrar vulnerabilidades, de las cuales para que hay bastantes por lo que explica Zerodium. Por ello, seguro que irán descubriéndose cada vez más en un sistema que debería mejorar su seguridad.