El mercado de exploits para iOS no para de crecer con recompensas de hasta 2 millones de dólares por un Zero-day
El mercado de los Zero-days está inundado de exploits enfocados a iOS, la mayoría de ellos se centran en Safari e iMessage. Debido a la popularidad obtenida por Apple durante la última década parece que numerosos investigadores están enfocando su trabajo por completo a la explotación de iOS. “Han destruido la seguridad de iOS, nos están reportando tantos exploits de iOS que estamos empezando a rechazar algunos de ellos.” ha dicho el fundador de Zerodium Chaouki Bekrar. Crowdfense, otra empresa dedicada a la compraventa de exploits ha explicado a Vice que numerosos investigadores están intentando vender sus exploits pero que en muchas ocasiones son rechazados por no ser Zero-click exploits (aquellos capaces de hackear el dispositivo de una víctima sin tener acceso físico a él y sin tocar nada). Por otro lado, son numerosos los exploits que requieren que la víctima haga click en un link pero no se paga mucho por ellos.
Figura 1: Sistema de recompensas de Zerodium |
El mes pasado Apple anunció que está aumentando su programa de recompensas y que en un futuro cercano pretende incluir en él a todas sus plataformas. Actualmente el fabricante californiano ofrece recompensas de hasta 1 millón de dólares por los Zero-days, la cual es la mayor recompensa jamás ofrecida por una compañía tecnológica del sector. A pesar de ello esta recompensa no puede competir con las ofrecidas por compañías como Zerodium o Crowdfense.
Otra de las razones por las que iOS se ha convertido en un software “más fácil” de hackear es debido a la fragmentación de Android. Un exploit que funciona en una versión concreta de Android podría no funcionar en determinados dispositivos. Por otro lado actualmente la mayoría de dispositivos que están corriendo iOS 12 o cualquier otra versión del sistema operativo son iPhone, iPad e iPod haciendo que un mismo exploit funcione en decenas de millones de dispositivos.
Powered by WPeMatico