Si bien desde hace rato que el mito de la seguridad de los dispositivos Apple ya no es tan sólido como antes, igualmente se trata de un sistema operativo que no es tan fácil de vulnerar de manera remota.
Al menos eso podíamos decir hasta este fin de semana cuando la startup de adquisición de exploits, Zerodium, anunciara que ya tienen un ganador en su concurso que premiaba con USD $1 millón a quien pudiera hackear un iPhone o iPad que utilizaran la más reciente versión del sistema operativo.
Our iOS #0day bounty has expired & we have one winning team who made a remote browser-based iOS 9.1/9.2b #jailbreak (untethered). Congrats!
— Zerodium (@Zerodium) noviembre 2, 2015
El concurso consistía en encontrar una manera de hacer jailbreak al dispositivo de manera tal que el atacante pudiese instalar cualquier aplicación que quisiera con todos los privilegios.
El exploit inicial, según las bases dispuestas, debía venir a través de Safari, Chrome o mensajes de texto o multimedia. Esto significaba que los participantes debían encontrar no una, si no una serie de bugs desconocidos dentro de la última versión de iOS.
“Hacer jailbreak remoto accionable desde Safari o Chrome requiere al menos 2 a 3 exploits adicionales comparados a un jailbreak local", explica Chaouki Bekar, fundador de Zerodium.
Este tipo de retos para encontrar vulnerabilidades en sistemas de seguridad en diferentes plataformas antes de que alguien las aproveche, también conocidas como zeroday, se han convertido en algo cada vez más recurrente y está abriendo un nicho para hackers que ya no van tras el reto de vulnerar la seguridad de las plataformas de seguridad, si no que usan su conocimiento para señalar por dónde están las debilidades del sistema y luego vender sus hallazgos a las empresas que aún no son atacadas, pero que se encuentran vulnerables.
A diferencia de otras empresas que buscan este tipo de exploits, Zerodium tiene como clientes exclusivos a distintas agencias de seguridad e inteligencia en Estados Unidos como la Agencia de Seguridad Nacional (NSA), la Agencia Central de Inteligencia (CIA) o la Oficina Federal de Investigación (FBI), quienes habrían estado tratando de vulnerar la seguridad en los iPhone para espiar a sus objetivos.
Igualmente, los expertos en seguridad contactados por Motherboard aseguran que Apple no ofrece un sistema operativo móvil particularmente más seguro que otros y que en sus actualizaciones son varios los problemas de seguridad que solucionan. Dando una prueba más de que no existen los infalibles en los sistemas operativos móviles.
0 comentarios:
Publicar un comentario