Si bien desde hace rato que el mito de la seguridad de los dispositivos Apple ya no es tan sólido como antes, igualmente se trata de un sistema operativo que no es tan fácil de vulnerar de manera remota.
Al menos eso podíamos decir hasta este fin de semana cuando la
startup de adquisición de exploits, Zerodium, anunciara que ya tienen un
ganador en su concurso que premiaba con USD $1 millón a quien
pudiera hackear un iPhone o iPad que utilizaran la más reciente versión
del sistema operativo.
Our iOS #0day bounty has expired & we have one winning team who made a remote browser-based iOS 9.1/9.2b #jailbreak (untethered). Congrats!
— Zerodium (@Zerodium) noviembre 2, 2015
El concurso consistía en encontrar una manera de hacer jailbreak al dispositivo de manera tal que el atacante pudiese instalar cualquier aplicación que quisiera con todos los privilegios.
El exploit inicial, según las bases dispuestas, debía venir a través de Safari, Chrome o mensajes de texto o multimedia. Esto significaba que los participantes debían encontrar no una, si no una serie de bugs desconocidos dentro de la última versión de iOS.
“Hacer jailbreak remoto accionable desde Safari o Chrome requiere al
menos 2 a 3 exploits adicionales comparados a un jailbreak local",
explica Chaouki Bekar, fundador de Zerodium.
Este tipo de retos para encontrar vulnerabilidades en sistemas de
seguridad en diferentes plataformas antes de que alguien las aproveche,
también conocidas como zeroday, se han convertido en
algo cada vez más recurrente y está abriendo un nicho para hackers que
ya no van tras el reto de vulnerar la seguridad de las plataformas de
seguridad, si no que usan su conocimiento para señalar por dónde están las debilidades del sistema y luego vender sus hallazgos a las empresas que aún no son atacadas, pero que se encuentran vulnerables.
A diferencia de otras empresas que buscan este tipo de exploits,
Zerodium tiene como clientes exclusivos a distintas agencias de
seguridad e inteligencia en Estados Unidos como la Agencia de Seguridad Nacional (NSA), la Agencia Central de Inteligencia (CIA) o la Oficina Federal de Investigación (FBI), quienes habrían estado tratando de vulnerar la seguridad en los iPhone para espiar a sus objetivos.
Igualmente, los expertos en seguridad contactados por Motherboard
aseguran que Apple no ofrece un sistema operativo móvil particularmente
más seguro que otros y que en sus actualizaciones son varios los
problemas de seguridad que solucionan. Dando una prueba más de que no
existen los infalibles en los sistemas operativos móviles.
Via wayerless
0 comentarios:
Publicar un comentario