manzana
El iPhone de Apple, que se ejecuta en una versión patentada, de código cerrado y fuertemente bloqueada del sistema operativo móvil iOS, ahora aparentemente es más vulnerable a las vulnerabilidades de seguridad y privacidad ejecutables de forma remota que Android. Por primera vez, técnicas de piratería que pueden paralizar de forma remota las defensas del iPhone sin la interacción del usuario cuestan menos que los necesarios para entrar en un teléfono inteligente Android.
La firme creencia de que la seguridad del iPhone o iOS de Apple es impenetrable, podría verse afectada, al menos a corto plazo. Los mercados clandestinos que comercian con fallas y vulnerabilidades secretas pero explotables con éxito en iOS, el sistema operativo que se ejecuta exclusivamente en los iPhones de Apple, parecen haber indicado el cambio de percepción. Por primera vez, cualquier herramienta de piratería secreta capaz de tomar el control de forma remota de un teléfono inteligente Android sin la interacción del usuario tiene un precio más alto que su equivalente de iPhone.
¿Zerodium primero reduce y luego suspende la compra de vulnerabilidades de seguridad de iOS debido a la abundancia de fallas?
Zerodium, que compra y vende los llamados exploits de día cero que aprovechan las vulnerabilidades secretas del software, anunció que ha suspendido temporalmente la compra de nuevos exploits de escalamiento de privilegios locales de iOS, ejecución remota de código de Safari o exploits de sandbox, durante los próximos meses. Además, la compañía publicó una lista de precios actualizada para las vulnerabilidades de seguridad para el sistema operativo de teléfonos inteligentes iOS y Android.
NO adquiriremos ningún escape nuevo de Apple iOS LPE, Safari RCE o sandbox durante los próximos 2 a 3 meses debido a una gran cantidad de envíos relacionados con estos vectores.
Los precios de las cadenas de un clic de iOS (por ejemplo, a través de Safari) sin persistencia probablemente caerán en un futuro próximo.
- Zerodio (@Zerodio) 13 de mayo de 2020
La suspensión se produce después de que, según los informes, la compañía comenzó a recibir una gran cantidad de envíos por exploits dentro de Apple iOS. La compañía afirmó que seguirá aceptando cadenas de un clic de iOS (por ejemplo, a través de Safari) sin persistencia. Sin embargo, los precios de los mismos se han reducido significativamente y, curiosamente, los precios de las fallas de seguridad de iOS ahora se encuentran por debajo de los del sistema operativo Android.
La seguridad de iOS está jodida. Solo el PAC y la no persistencia evitan que llegue a cero ... pero estamos viendo muchos exploits que eluden el PAC, y hay algunos exploits de persistencia (0 días) que funcionan con todos los iPhones / iPads. Esperemos que iOS 14 sea mejor. https://t.co/39Kd3OQwy1
- Chaouki Bekrar (@cBekrar) 13 de mayo de 2020
El CEO de Zerodium, Chaouki Bekrar, tuvo una elección bastante fuerte de palabras para describir el estado actual de la seguridad de iOS. Afirmó que solo el código de autenticación de puntero y los exploits de no persistencia mantienen a flote la seguridad de iOS. Además, afirmó que todavía hay suficientes exploits en estas categorías. No hace falta agregar que tales afirmaciones deberían ser preocupantes para Apple, que se enorgullece de las capas de seguridad altamente impenetrables dentro de iOS.
Al llegar a la lista de precios de vulnerabilidades de seguridad, Zerodium ahora ofrece hasta $ 2.5 millones por una técnica de piratería sin clic que se hace cargo total y silenciosamente de un teléfono Android sin interacción del usuario objetivo. En palabras simples cualquier exploit que no requiera la interacción del usuario dentro de un sistema operativo Android tiene un alto precio. Por cierto, esto sigue siendo raro. Aún así, cualquiera vulnerabilidad similar dentro de un Apple iOS tiene un precio 500.000 dólares menos que Android.
[Crédito de la imagen: Zerodium via Wired]
Hablando sobre el escenario cambiante, el fundador de Zerodium, Chaouki Bekrar, escribió: “Durante los últimos meses, hemos observado un aumento en la cantidad de exploits de iOS, principalmente cadenas de Safari e iMessage, que son desarrollados y vendidos por investigadores de todo el mundo. El mercado de día cero está tan inundado de exploits de iOS que recientemente comenzamos a rechazar algunos de ellos. La seguridad de Android está mejorando con cada nueva versión del sistema operativo gracias a los equipos de seguridad de Google y Samsung, por lo que se volvió muy difícil y lento desarrollar cadenas completas de exploits para Android y es aún más difícil desarrollar exploits sin clic que no requieran cualquier interacción del usuario '.¿Es Apple iOS para iPhones menos seguro que Android?
Es bastante extraño ver que el precio de oferta de las vulnerabilidades de seguridad dentro de Apple iOS tiene un precio menor que el del sistema operativo Android. Además, también es un hecho que Android, respaldado por Google y en gran medida impulsado por los servicios de la empresa, ha mejorado significativamente en las últimas iteraciones . Android ahora es mucho más seguro que antes. Además, Google mejora constantemente la seguridad con algoritmos entrenados por inteligencia artificial y datos.
Dos fallas de día cero en iOS Mail amenazan a miles de millones de iPhone y iPad #Vulnerabilidad #Falla #Ataque #Manzana #iOS #Correo https://t.co/4N26K5yDcv
- CybSploit (@cybsploit) 12 de mayo de 2020
El iOS de Apple todavía se considera muy seguro. La compañía tiene un proceso de investigación riguroso para su App Store curada de Apple. Por lo tanto, los expertos insisten en que las afirmaciones de Zerodium podrían ser exageradas. Indican que los piratas informáticos, los escritores de códigos maliciosos y otros podrían estar volviendo a concentrarse en el iOS de Apple. Además, con la situación actual, los piratas informáticos podrían tener más tiempo para esforzarse más para penetrar la seguridad de iOS.
Etiquetas manzana
