“La seguridad de iOS está jod..a”, dice Zerodium, corredor de exploits

Hace cinco años, Zerodium ofreció una recompensa de $ 1 millón por un jailbreak sin atadura basado en navegador en iOS 9. El miércoles, el agente de explotación de software dijo que no pagará nada por algunos errores de iOS debido a un exceso de oferta.

“NO vamos a adquirir ningún nuevo Apple iOS LPE [escalada de privilegios locales], Safari RCE [ejecución remota de código] o escapes de sandbox durante los próximos dos o tres meses debido a una gran cantidad de envíos relacionados con estos vectores”, dijo la compañía. dijo a través de Twitter . “Los precios de las cadenas de un clic de iOS (por ejemplo, a través de Safari) sin persistencia probablemente caerán en el futuro cercano”.

Según la lista de precios más reciente de la empresa, los errores Safari RCE + LPE habían sido elegibles para pagos de hasta $ 500,000. Un exploit más completo, como una falla de FCP de iOS con clic cero [cadena completa con persistencia], aún debería calificar para un pago de hasta $ 2 millones, si la compañía lo acepta.

“La seguridad de iOS está jodida”, dijo el fundador de Zerodium, Chaouki Bekrar, a través de Twitter . “Solo los [Códigos de autenticación de puntero] y la no persistencia evitan que llegue a cero … pero estamos viendo muchas vulnerabilidades sin pasar por PAC, y hay algunas vulnerabilidades de persistencia (0 días) que funcionan con todos los iPhones / iPads. Esperemos iOS 14 será mejor “.

El iOS 13 de Apple ha sido particularmente defectuoso , lo suficiente como para que el vicepresidente senior de ingeniería de software, Craig Federighi , haya revisado el proceso interno de prueba de software de la compañía para evitar que se repita cuando iOS 14 llegue a finales de este año. El sistema operativo móvil ha tenido 12 actualizaciones (aproximadamente la mitad sin vulnerabilidades citadas o CVE) desde su lanzamiento en septiembre de 2019.

El mercado de vulnerabilidades de iOS se vio afectado en septiembre pasado cuando Zerodium dijo por primera vez que pagaría más por fallas en Android que en iOS. Eso fue un mes después de que el Proyecto Cero de Google revelara cinco cadenas de explotación de escalada de privilegios que afectan las versiones de iOS 10-12.

Poco después de eso, en diciembre del año pasado, Apple abrió su programa de recompensas de errores , solo por invitación desde 2016, al público. El negocio de teléfono y computadora ofrece pagos potenciales de cantidades variables, hasta $ 1m (ataque de red sin interacción del usuario: ejecución de código de kernel con cero clic con persistencia y omisión de PAC de kernel).

Ni Apple ni Zerodium respondieron a las solicitudes de comentarios.

Ryan Narraine, estratega de seguridad de Intel, desestimó los comentarios de Zerodium como “travesuras puras de marketing / relaciones públicas” y los calificó de trolling.

Cuando se le preguntó si la declaración de Zerodium refleja el estado real de la seguridad de iOS o si debe tomarse como una empresa que solo intenta hacer olas, Patrick Wardle, investigador principal de seguridad de Jamf Security y fundador de Objective-See, dijo a The Register que probablemente sea un poco de ambos .

“Para los investigadores / hackers de seguridad de iOS, es poco probable que la declaración de Zerodium sea una sorpresa”, dijo. “iOS, es solo otro sistema operativo, lo que significa que tendrá errores explotables. Y sí, pueden ser más difíciles de explotar (remotamente), pero lo hemos visto caer una y otra vez (como Google Project Zero y grupos como NSO ha demostrado) “.

Pero sugirió que la supuesta sobreoferta de vulnerabilidades también puede ser una consecuencia de la actual crisis de salud global. “Es probable que haya muchos hackers atrapados en casa con tiempo extra en sus manos, o tal vez que han perdido sus trabajos o están en una situación financiera difícil, como lo es una gran parte de la población”, dijo Wardle.

Agregue tiempo y motivación financiera, dijo, y obtendrá más errores.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *