Proponha uma correção, faça uma sugestão
Há quem pague bem mais que a Apple pelos bugs do iOS
Foi no final da passada semana que a Apple anunciou que estava a criar o seu programa de caça aos bugs dos seus sistemas. Os valores são elevados e o acesso limitado, o que aguçou o apetite de muitos.
Mas se a Apple quer começar a pagar para ver a sua segurança testada, há agora quem pague bem mais que a Apple por essas mesmas falhas!
A lista de pagamentos da Apple para as falhas que vierem a ser descobertas está bem definida. É do interesse da marca ter estes sistemas controlados, garantindo que as falhas são corrigidas.
Mas agora já há quem esteja preparado para pagar mais que a Apple para ter acesso a essas mesmas falhas. A Exodus Intelligence, uma empresa de segurança, apresentou a sua tabela de pagamentos para todas as falhas que lhe forem apresentadas. Nessa lista está presente o iOS, que tem um valor de 500 mil dólares, um valor bem mais elevado que o que a Apple está disposta a pagar (200 mil dólares).
Essa lista inclui ainda outros softwares, onde a Exodus Intelligence quer também aceder. Essa lista é composta pelos 3 principais browsers, o Windows 10, o flash e o reader da Adobe.
| TARGET | MAXIMUM |
|---|---|
| iOS 9.3+ | $500000 |
| Google Chrome | $150000 |
| Microsoft EDGE | $125000 |
| Firefox | $80000 |
| Windows 10 LPE | $75000 |
| Adobe Reader | $60000 |
| Adobe Flash | $60000 |
Não existe por parte da Exodus Intelligence uma descrição precisa de quais as falhas que vai recompensar. Indica apenas que deve incidir sobre o iOS 9.3 ou posterior. Esta será a falha que mais irá render aos hackers.
As razões da da Exodus Intelligence para a atribuição destes prémios não são claras, mas é evidente que a posse destes dados garante uma posição forte no mercado, podendo explorar essas falhas ou apresentá-las aos seus clientes, para que sejam eles a proteger-se ou a explorar essas falhas.
Este artigo tem mais de um ano
Loading ...
Não é propriamente novidade, já antes tinham aparecido empresas a oferecer 500 mil ou até 1 milhão de dólares por falhas no iOS.
mas que tipos de falas se referem?
Qualquer falha que permite extrair informações do telemóvel ou injectar código em aplicações por exemplo…
A exploração da falha rende muito mais que o divulgação à própria apple. A Apple tinha obrigação de cubrir o valor máximo, com tantos lucros o mínimo que podia fazer era garantir a totalidade das falhas para suposta correcção.
A Apple só tem 15-20% de mercado, a Google, a Samsung, LG, Lenovo, Xiaomi, Nokia, Sony, HTC, todas juntas são bem maiores e vendem muitos mais telemóveis com SO Android, deviam pagar bem mais que os 50.000 (no maximo) que o Android paga!
O mesmo se poderia dizer da Google, Microsoft e outras. Este tipo de programas não compete para o topo de pagamentos ou para leilões, eles existem para financiar uma rede de investigadores de confiança.
Trabalho como freelancer na deepweb e ja me pagaram 180mil dollares por uma falha no ios 9.0 no inicio
Tinhas uma GUI em Visual Basic?
Na deepweb há quem esteja a pagar milhões por falhas no ios e é lá que provavelmente vai cair tudo o que for descoberto.
A Apple não vai conseguir contrariar isso muito menos depois da consequência da optimização do sistema LOL “Human Stupidity , that’s why Hackers always win.” e tá tudo dito 😉
Por essa lógica nenhum dos programas que existem para outros softwares daria algum resultado. Nem toda a gente prefere enveredar por esse mundo…
Algum resultado dá sempre, mas o balanço geral tem de ser negativo a partir do momento em que apesar das falhas que se corrigem se vão explorando cada vez mais vulnerabilidades e cada vez mais perigosas.
A única diferença é apenas o estado dos softwares pré-programa em comparação com o ios, não tem comparação possível, os programas na maioria dos softwares foram para travar um pouco o mal que já estava feito, no ios aparentemente foi apenas porque se queria optimizar aquilo que já estava implementado bem ou menos bem, com segurança, por isso é que considero que a falha foi gigante.
Mexer no que está bem é sempre arriscado, ou será que não estava assim tão bem como se dizia? Existe sempre essa possibilidade que acredito que custe mais a engolir (a mim custa) e ai até se poderia eventualmente justificar com o “tentou-se mudar algo que estava mal” receio é que vá ficar pior, porque como disse a cima, as vantagens podem não vir a justificar as desvantagens.
PS: Deixo-te outra para responder à tua ultima frase “Never underestimate the determination of a “kid” who is time-rich and cash-poor.”
Estás a exagerar e muito! Nem toda a gente deste mundo é um black hat ou grey hat, nem cada falha só pode ser descoberta por uma só pessoa para que se torne obrigatório pagar o preço máximo para obter boas pesquisas de vulnerabilidades.
Mexer no que está bem? Criar financiamento destes é mexer no iOS?
Kurt, tens toda a razão, só ficar com 100 mil ou 200 mil em vez de 500 mil é mesmo ficar pobre, qualquer pessoa só se move para ganhar o máximo de dinheiro possível, não é?
LOL, 10 anos sem nenhum ataque em grande escala.
LOL, porque as pessoas que usam Linux, Windows ou Android são mais inteligentes (NOT)
Quanto pagam para Android?
ainda ja se sabe que a falta de seguranca e gritante qq pessoa acede a tudo.
E no mercado negro, quanto não rende? quantas falhas não terão já sido descobertas/vendidas/aproveitadas sem que os patinhos saibam de nada, enquanto nadam todos contentes no lago da falsa segurança?
Prova que o iOS não está em total segurança!
Uma amostra, um caso que se tornou publico: https://goo.gl/J0K2tk