O melhor pedaço da Maçã.
MM News

Receba os nossos principais artigos diariamente, por email.

iPhone bloqueado por senha
AKKet.com

Firma deixa de comprar brechas de segurança no iOS porque… já tem muitas

O CEO da Zerodium afirmou que “a segurança do iOS está f*****”

No início do ano passado, falamos aqui sobre a empresa de segurança Zerodium, especializada na compra e venda de vulnerabilidades (exploits) inéditas descobertas em sistemas operacionais. À época, a firma estava pagando até US$2 milhões em determinadas falhas para o iOS — o dobro do máximo pago pela própria Apple no seu programa de recompensas para vulnerabilidades.

Publicidade

Pois recentemente, numa reviravolta surpreendente, a Zerodium anunciou que interrompeu a aquisição de brechas de segurança do iOS. O motivo? Aparentemente, já existem muitas delas — e, por conta disso, o preço médio das falhas deverá cair significativamente nos próximos meses.

Explico: ontem (13/5), a empresa foi ao Twitter anunciar que deixaria de adquirir, pelos próximos dois ou três meses, exploits relacionados ao iOS, ao Safari ou aos escapes de sandbox desses elementos:

Nós NÃO vamos comprar nenhum novo LPE [Local Privilege Escalation] do iOS, RCE [Remote Code Execution] do Safari ou escape de sandbox pelos próximos dois ou três meses devido a um grande número de envios relacionados a esses vetores. Os preços das vulnerabilidades one-click (via Safari, por exemplo) sem persistência deverão cair num futuro próximo.

O CEO da Zerodium, Chaouki Bekrar, detalhou a decisão ao CyberScoop, afirmando que o nível de segurança do iOS está caindo:

Publicidade

O mercado de vulnerabilidades zero-day [desconhecidas pelos seus criadores — no caso, a Apple] é baseado na oferta e na procura. Uma alta na oferta de exploits inéditos para um produto específico significa que o nível de segurança daquele produto está caindo, e o preço cai porque há muitas vulnerabilidades disponíveis. […] A firma agora está pagando US$0 por essas falhas, porque não as queremos mais.

Bekrar foi um pouquinho mais incisivo na sua conta pessoal do Twitter:

A segurança do iOS está fodida. Só PACs [Pointer Authentication Codes] e processos não-persistentes estão impedindo-a de cair a zero… mas nós estamos vendo muitas vulnerabilidades passando por cima dos PACs, e já existem alguns exploits de persistência (zero-day) que funcionam em todos os iPhones/iPads. Esperemos que o iOS 14 seja melhor.

Resumindo tudo para quem não tem muita familiaridade com o mundo hacker, a moral da história (segundo a concepção de Bekrar, ao menos) é que o iOS 13 é, basicamente, uma “colcha de retalhos cheia de buraquinhos” — a ponto de causar uma desvalorização de 100% no mercado de vulnerabilidades para ele mesmo.

Obviamente, outros aspectos além da segurança do iOS 13 devem ser considerados aqui. Em tempos de pandemia e isolamento social, não é difícil imaginar que os hackers e pesquisadores de segurança tenham mais tempo nas mãos para descobrir falhas no sistema, aumentando, portanto, a oferta de vulnerabilidades. Além disso, a etiqueta de US$2 milhões oferecida anteriormente deve ter atraído muita gente para a pesquisa de falhas no iOS.

Publicidade

De qualquer forma, não há como negar: o iOS 13 é, sim, mais bugado do que o normal — a própria Apple já meio que admitiu isso indiretamente ao promover mudanças no desenvolvimento do sistema a partir da sua próxima versão. Ou seja, como disse o próprio Bekrar… agora é torcer para que o iOS 14 seja melhor.

via iMore

Ver comentários do post

Carregando os comentários…
Artigo Anterior
Óculos de realidade aumentada

Analista traz detalhes sobre a chegada de novos iPads e dos “Apple Glasses”

Próximo Artigo
NextVR

Apple compra NextVR, especializada na transmissão de eventos ao vivo em realidade virtual [atualizado]

Posts Relacionados