Zerodium es una compañía de ciberseguridad especializada en la compra de exploits que hace algunos años llamó la atención de la comunidad debido a una oferta de un millón de dólares por un jailbreak para el sistema iOS basado en el navegador. Acorde a especialistas de un curso de hacking, la empresa acaba de anunciar que dejará de pagar por algunos errores de seguridad en iOS, debido a la excesiva oferta.
“Dejaremos de adquirir nuevos exploits de Apple iOS (escaladas de privilegios locales, ejecución remota de código en Safari y evasión de sandbox) durante los próximos dos o tres meses debido a la gran cantidad de reportes que recibimos relacionados con estos vectores de ataque”, menciona el anuncio de la compañía. Zerodium también menciona que el valor de las cadenas de ataque de un clic en iOS también podría colapsar en el futuro cercano.
Zerodium también publicó su lista de precios actualizada: Desde ahora, la compañía recompensará los errores de ejecución remota de código y escaladas de privilegios locales con pagos de hasta 500 mil dólares. Reportes de exploits para iOS más complejos, como fallas de cero clics con persistencia, podrían ser recompensados con hasta 2 millones de dólares, mencionan los expertos de un curso de hacking.
Respecto a los motivos que llevaron a Zerodium a tomar esta decisión, Chaouki Bekrar, fundador de la firma, mencionó: “La seguridad en iOS es un desastre; nos hemos encontrado con múltiples vulnerabilidades día cero que son explotables en todos los modelos de iPhone o iPad. Sólo espero que iOS 14 cuente con seguridad mejorada”.
Para los expertos de un curso de hacking, iOS 13 es un sistema operativo altamente propenso a mostrar fallas de seguridad, por lo que la compañía ha invertido grandes recursos para que su próximo sistema operativo sea más seguro. La versión 13 de iOS ha tenido 12 actualizaciones de seguridad desde su lanzamiento en septiembre de 2019. La demanda por vulnerabilidades de iOS se redujo drásticamente desde septiembre pasado, cuando Zerodium anunció que pagaría mayores recompensas por fallas de seguridad en el sistema operativo Android; hasta entonces, la compañía ofrecía mejores pagos por errores en iOS.
Otro factor que contribuyó a la falta de interés de Zerodium en las fallas de iOS es que Apple decidió abrir su programa de recompensas para todo el público. Hasta entonces, los investigadores sólo podían participar en el programa de recompensas por invitación de Apple.
Ambas compañías fueron consultadas, aunque no han respondido hasta el momento. Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
