¿Cuál es el estado actual de la seguridad de iOS?? Según la firma de adquisición de exploits Zerodium, La seguridad de iOS ya no funciona tan bien.
Hace cinco años, Zerodium estaba ofreciendo una recompensa de $1 millones para un navegador, jailbreak sin ataduras en iOS 9. Actualmente, la compañía dijo que no pagará nada por algunos errores de iOS. ¿Por qué? Porque hay un exceso de oferta.
“NO vamos a adquirir ningún nuevo Apple iOS LPE [escalada de privilegios locales], Safari RCE [ejecución remota de código], o la caja de arena se escapa durante los próximos dos o tres meses debido a una gran cantidad de envíos relacionados con estos vectores,” Zerodium dijo en un tweet. Adicionalmente, precios para cadenas de un clic de iOS sin persistencia, por ejemplo en Safari, probablemente caerá en el futuro cercano.
¿Cuál es el precio actual de las vulnerabilidades de iOS??
La lista de precios de Zerodium muestra que la ejecución remota de código de Safari y los defectos de escalada de privilegios locales habían sido elegibles para pagos de hasta $500,000. Un exploit más completo, como una cadena completa de iOS de clic cero con persistencia puede costar hasta $2 millones, si el corredor de exploits lo acepta.
Al parecer,, iOS 13 ha sido consistente en tener problemas. El sistema operativo ha tenido 12 actualizaciones desde su lanzamiento inicial en septiembre 2019. La mayoría de las actualizaciones no tenían CVE citados, investigadores señalan.
En breve, “La seguridad de iOS está jodida,” de acuerdo con un tweet por el fundador de Zerodium, Chaouki Bekrar.
Sólo [Códigos de autenticación de puntero] y la no persistencia están impidiendo que llegue a cero…pero estamos viendo muchas vulnerabilidades sin pasar por PAC, y hay algunas hazañas de persistencia (0días) trabajando con todos los iPhones / iPads. Esperemos iOS 14 será mejor, Bekrar agregado en el mismo tweet.
El mercado de exploits móviles cambió en septiembre pasado, cuando Zerodium declaró que pagaría más para errores de Android que errores de iOS. Una cadena de exploits de clic cero de Android que no requiere la interacción del usuario podría dar a los investigadores un pago de hasta $2.5 millones, mientras que la misma cadena de exploits en iOS se estimó en $2 millones.
En comparación con lo que Zerodium estaba ofreciendo en 2018, el precio de exploits Android ha saltado varias veces, como el pago solía ser hasta $200,000.
Teniendo en cuenta la naturaleza del trabajo de Zerodium, los cambios de precios pueden estar relacionados con el creciente interés en Android hazañas de la policía y las agencias gubernamentales.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: