Gana 1,5 millones de euros por encontrar un agujero de seguridad en iOS 10
Los fallos de seguridad en los dispositivos y sistemas operativos que utilizamos a diario valen mucho. Los hacks filtrados de la NSA habrían valido conjuntamente 10 millones de euros de haberse vendido en la Dark Web. Con la salida de iOS 10, el mundo del hacking está analizando las posibles vías para intentar encontrar exploits de manera satisfactoria.
Zerodium es una empresa encargada de recopilar exploits y dárselos a agencias gubernamentales, que las utilizan para espiar supuestamente a criminales, terroristas u otros enemigos. En el caso de iOS, han aumentado la cifra de recompensa a 1,5 millones de dólares para exploits que funcionen en las últimas versiones de los iPhones y iPads, triplicando así la recompensa máxima ofrecida anteriormente. El año pasado ofrecieron 1 millón de dólares, pero tras recibir y aceptar tres exploits, decidieron bajar la cantidad a 500.000 dólares.
Sistemas operativos más seguros
Tanto Apple como Google han mejorado la seguridad de sus sistemas operativos, por lo que éstos son ahora más difíciles de penetrar. Por ello, no sólo han aumentado las recompensas de exploits para iOS, sino que han duplicado hasta 200.000 dólares las de Android, y han aumentado a 80.000 dólares las de Adobe Flash.
Ante la pregunta de por qué un exploit del mismo tipo vale 7,5 veces más si es de iOS en lugar de Android, Zerodium afirma que es por una mezcla de dos razones: porque es 7,5 veces más difícil encontrar un exploit en iOS, y sobre todo porque hay una demanda 7,5 veces mayor de un exploit para este sistema operativo.
Las compañías tienen que igualar lo que ofrecen otras empresas
Apple anunció que iba a pagar hasta 250.000 dólares para quien encontrara un fallo grave en su sistema operativo. Un usuario puede no tener intención de mandarlo a Apple si hay una empresa que ofrece casi 6 veces más. O incluso puede mandar el exploit a Zerodium, y pasado un tiempo enviárselo a Apple, obteniendo doble beneficio. Google, por otro lado, ofrece 38.000 dólares como máximo, casi 6 veces menos que lo que ofrece Zerodium.
No obstante, optar a la máxima recompensa de Zerodium supone enviar un exploit que funcione perfectamente y sea capaz de tomar el control total del dispositivo atacado. El exploit no puede ser una serie de líneas de código que indiquen donde se encuentra en fallo, sino que tiene que ser un exploit totalmente funcional. Para optar a las recompensas de Apple y Google no se requiere tanto esfuerzo, ya que sólo es necesario indicar dónde se encuentra el fallo.
Hay ligeras diferencias entre los exploits que cualifican para la máxima recompensa en el caso de Apple y Zerodium. Apple busca sobre todo exploits que afecten al boot, el cual es un componente clave en el caso de que un usuario pierda el teléfono y alguien pueda acceder a sus datos. Zerodium, por otro lado, busca exploits que tengan como objetivo el navegador web o el kernel, a través del cual ganar control activo del terminal.
Fuente: Adslzone.net