iOS menos seguro que ayer, más que mañana

iOS, el sistema operativo de Apple para sus dispositivos móviles, gozaba hasta hace muy, pero que muy poco tiempo, de un gran prestigio en el mundo de la seguridad. Sin embargo, revelaciones recientes como el exploit que lleva años estando presente y siendo explotado en iOS sin que hubiera sido detectado, han afectado muy seriamente a esa imagen. Tanto que, de considerarse que las vulnerabilidades de día cero eran una excepción, en menos de un mes hemos pasado a que cada vez susciten menos interés.

La última noticia al respecto, y de la que hemos sabido por un tweet de la empresa que lo protagoniza, es que Zerodium suspende temporalmente la compra de exploits de iOS. ¿La razón?, debido a la gran cantidad de envíos recibidos en las últimas semanas. En otras palabras, la compañía tiene tantas vulnerabilidades de seguridad a su disposición que ya no necesita más por una temporada.

Zerodium es una empresa dedicada a la adquisición de exploits que paga a los investigadores por vulnerabilidades de seguridad de día cero. Luego estos agujeros de seguridad son vendidos a clientes institucionales, como organizaciones gubernamentale, agencias de seguridad, cuerpos y fuerzas de seguridad, etcétera. La compañía se centra en vulnerabilidades de alto riesgo, por las que normalmente ofrecen entre 100.000 y dos millones de dólares en el caso de exploits de día cero para iOS que sean plenamente funcionales y, claro, no hayan sido reportados previamente.

Tradicionalmente Zerodium siempre ha pagado excepcionalmente bien los exploits de día cero para iOS, hasta el punto de que en 2016 puso en marcha un programa de recompensas permanentes para este sistema operativo en el que alcanzó la, entonces, histórica cifra del millón y medio de dólares por vulnerabilidad. Eran, como decía antes, buenos tiempos para la seguridad en la plataforma aunque, paradójicamente, ya se viera afectada por la vulnerabilidad descubierta recientemente por ZecOps.

We will NOT be acquiring any new Apple iOS LPE, Safari RCE, or sandbox escapes for the next 2 to 3 months due to a high number of submissions related to these vectors.
Prices for iOS one-click chains (e.g. via Safari) without persistence will likely drop in the near future.

— Zerodium (@Zerodium) May 13, 2020

Hoy todo eso ha cambiado por completo, y el tweet de Zerodium lo demuestra claramente. Recordemos que la compañía se especializa en vulnerabilidades de día cero, y que afirma tener «suficientes» como para congelar la compra durante los próximos meses. ¿Cuantos problemas no detectados tiene todavía iOS? ¿Cuántos de ellos pueden estar siendo empleados ya in the wild? Siento decirlo, y más teniendo en cuenta que soy usuario de iPhone y iPad, pero la verdad es que parece que acabamos de perder la, por lo visto falsa, sensación de tranquilidad de la que disfrutábamos hasta ahora.

La entrada iOS menos seguro que ayer, más que mañana es original de MuySeguridad. Seguridad informática.