Proponha uma correção, faça uma sugestão
Zerodium tem tantas falhas do iOS e Safari que deixou de receber novas submissões
Dada a segurança que a Apple coloca nos seus produtos, todas as empresas de segurança procuram ter acesso às falhas que surgem e que são descobertas. Estas valem muito dinheiro e são a porta para explorar novos serviços que oferecem.
A Zerodium é uma das mais conhecidas empresas deste ramo e agora veio anunciar que parou de aceitar novas submissões de falhas. São tantas as falhas do iOS e do Safari que tem em mãos que terá de parar por alguns meses.
Zerodium está inundada de falhas de produtos Apple
O iOS, os restantes sistemas da Apple e até o seu software são conhecidos por terem uma aura de segurança muito grande. A empresa aplica-se em manter as suas propostas livre de problemas, o que infelizmente nem sempre consegue.
Todas as falhas existentes valem muito no mercado da segurança e é aqui que a Zerodium entra em cena. Esta empresa veio agora alertar que está inundada de falhas de segurança do iOS e do Safari e vão interromper as submissões por 2 ou 3 meses.
We will NOT be acquiring any new Apple iOS LPE, Safari RCE, or sandbox escapes for the next 2 to 3 months due to a high number of submissions related to these vectors.
Prices for iOS one-click chains (e.g. via Safari) without persistence will likely drop in the near future.— Zerodium (@Zerodium) May 13, 2020
iOS e Safari são as principais fontes
Esta decisão surge agora, depois de um ano em que os problemas destas plataformas surgiram num valor anormalmente elevado. Estes aparentemente continuam altos e focam-se nas falhas do iOS de LPE (local privilege escalation), execução de e código remoto e fugas de sandbox do Safari.
A existência de muitas destas falhas leva à sua desvalorização neste mercado alternativo. Assim, a Zerodium quer manter algum controlo neste mercado controlado, mesmo prevendo que os valores a pagar venham a cair nos próximos meses.
Submissões são tantas que foram congeladas
O valor das falhas é de tal forma elevado que a Zerodium paga 2,5 milhões pela cadeia completa de uma falha persistente, zero click, no Android. Curiosamente, e ao contrário do que se poderia esperar, 2 milhões por uma similar no iOS.
Não se esperava que a segurança destes produtos da Apple tivesse atingido este nível. Não é aceitável que estas falhas existam neste número e que estejam provavelmente a ser exploradas ou prontas a tal.
Este artigo tem mais de um ano
Loading ...
Não se esperava? Os sistemas são criados por pessoas, e erros vão sempre existir. Onde está a dúvida?
+1
Realmente quem escreveu o artigo passa um ideia muito errada..
Falhas todos têm, e nunca são poucas, independentemente qual seja.
Ryan Narraine, estratega de segurança da Intel sobre o tweet da Zerodium:
“Puros truques de relações públicas / marketing. Esses tweets trolls geram uma explosão de manchetes de “notícias” para o Zerodium.”
E de certos posts, diria eu.
O que diz o The Register, depois de citar Ryan Narraine:
“Questionado sobre se a declaração de Zerodium reflete o estado real da segurança do iOS ou deve ser tomada como uma empresa que está apenas a tentar criar ondas, Patrick Wardle, principal pesquisador de segurança da Jamf Security e fundador da Objective-See, disse ao The Register que provavelmente é um pouco das duas coisas. .
“Para pesquisadores / hackers de segurança do iOS, é improvável que a declaração de Zerodium seja uma surpresa”, disse ele. “O iOS é apenas mais um sistema operativo, o que significa que haverá bugs que podem ser explorados. E sim, eles podem ser mais difíceis de explorar (remotamente), mas vimos cair vezes sem conta (como o Google Project Zero e grupos como NSO mostraram) “.
Mas ele sugeriu que o excesso de oferta alegado de vulnerabilidades também pode ser uma consequência da atual crise global do Covid. “Provavelmente existem muitos hackers presos em casa com tempo extra, ou talvez tenham perdido o emprego ou estejam em dificuldades financeiras, assim como uma grande parte da população”, disse Wardle. Acrescentou: “Adicione tempo e motivação financeira, ele disse, e você terá mais bugs.
P.S. Sobre os famosos 2,5 milhões de dólares (Android) e 2 milhões (iOS) é – “até 2,5 milhões” e “até 2 milhões”. Como relações públicas/marketing foi notícia – “Vejam já se paga mais pelo Android!” – mas, ao certo, a Zerodium pagou quanto, num caso e noutro?
Que novidade… Essa aura de segurança que vocês falam é treta… Apenas tem menos vírus, assim como o Linux porque tem menos utilizadores.
Mas se tivesse metade dos utilizadores do windws ou Android… O sistema estaria todo infectado… Tem muitos problemas de segurança, no entanto o marketing é bom… E desvia essas suspeitas… Mas qualidade de segurança? É treta…
Como já disse anteriormente… Volta Jobs que estes que lá estão não inovam nada e só querem lucro fácil à conta dos papalvos que acreditam no Pai Natal e no Coelhinho da Páscoa.
Há muito que tanto o hardware como o software são apenas lixo sobrevalorizado.
São submissões, não significa que todas sejam aceites. O pessoal anda com muito tempo nesta quarentena 🙂
*tempo livre
A Apple não é “segura”! Nem a Apple nem a Google nem nenhuma outra.
A segurança não é uma característica. É uma unidade de medida. Há mais seguras e menos seguras. Mas no fundo, no fundo, a segurança anda em último plano no mundo das tecnologias…
E a Apple não está pior do que já foi. A Apple criou uma imagem de “seguro” e de “inviolável” que era apenas isso. Uma imagem construída com recurso a um marketing excepcional.
Mas o tempo tem vindo a revelar que a segurança sempre foi idêntica à da concorrência, ou seja, muito baixa…
Ainda há uns meses foi descoberto um exploit que permitia a um hacker aceder e controlar a 100% um iPhone bastando para isso que o mesmo acedesse a um site… E era um bug do iOS inicial que só foi corrigido na versão 13 qualquer coisa…
A coisa é então devida a um marketing excecional da Apple?
É contrabalançada pelos post troll do tipo https://pplware.sapo.pt/apple/google-volta-a-revelar-falhas-de-seguranca-da-apple-e-desta-vez-a-vitima-e-o-ios/
(6 vulnerabilidade – são 6 porque o formato do ficheiro de imagem muda – denunciadas pelo Project Zero que crasham a ferramenta de leitura escrita de ficheiros de imagem). Foram apresentadas no post como grandes falhas de segurança que podem originar o controlo remoto do iPhone.
Quanto ao ataque a que te referes, tem interesse lembrar que foram levadas a cabo por um Estado, para que não se fique com a ideia de que era um ataque generalizado – bastava aceder a um site e já está (não era o acesso completo, mas do que se sabe, era a dados importantes)
https://www.apple.com/newsroom/2019/09/a-message-about-ios-security/
O iOS tem bugs? Mas alguma vez a Apple disse o contrário? Do link acima:
“A segurança é uma jornada sem fim e nossos clientes podem ter certeza de que estamos a trabalhar para eles. A segurança do iOS é incomparável, porque assumimos a responsabilidade total pela segurança do nosso hardware e software. As nossas equipes de segurança de produtos em todo o mundo estão constantemente a interagir para introduzir novas proteções e corrigir vulnerabilidades assim que são encontradas. Nunca interromperemos nosso trabalho incansável para manter nossos utilizadores seguros.”
Mais do que isso não se pode prometer.
A Google também trabalha para a segurança do Android? Ótimo.
A “coisa” que é devida ao marketing é a falsa sensação de segurança.
E a “outra coisa” é devida ao trollismo que ameaça com uma falsa sensação de insegurança,
Experimenta, vai ao tweet do post e clica em Zerodium. Vês que:
– A 3 de setembro a Zerodium publicou um tweet troll (ou seja, que gera uma explosão de manchetes de “notícias” para o Zerodium) que diz que paga (até) 2,5 milhões por um top exploit do Android e menos pelo iOS. Deu origem a muitos post troll, ou seja, que originam muitos comentários, em boa parte desinformados.
. Tens mais uns 4 tweets a dizer que a Zerodium apoia isto ou aquilo.
– E chegas ao tweet troll que deu origem ao atual post, que lhe acrescentou abundante prosa troll.
O trollismo é um certificado de garantia dos produtos Apple – “O quê, só encontraram isto?”. O Android não tem esse benefício : )
Trolismo ou sem ele, a apple tem vindo a ser exposta em falhas gravíssimas de segurança.
Só quem não quer é que não vê.
Todos equipamentos tem falhas. O ios pode ter menos por ser criado só para 1 smartphone se fosse como o Android ia ser igual ou pior. A Apple depois Steve jobs e só marketing.
Por acaso não estou a ver, mas gostava. Uns exemplozitos vinham a calhar …
O misterioso ataque da China, através de doze sites, para controlar a comunidade Uigur – que a Apple denunciou para não se espalhar a ideia de um ataque generalizado (link da Apple/newsroom acima) é um caso … não é o mesmo que várias/muitas falhas gravíssimas.
Agora diz que é tudo fake…
https://www.forbes.com/sites/daveywinder/2020/02/11/platform-wars-2020-apple-security-threats-outpace-microsoft-windows-for-first-time/#5551a4fc7c5a
https://www.forbes.com/sites/daveywinder/2019/11/09/siri-feature-can-leave-apple-mail-encrypted-text-unencryptedheres-the-fix/amp/
https://www.wired.com/story/ios-attack-watering-hole-project-zero/
Os dois primeiros links, enfim, nada de especialmente grave. Ha vulnerabilidade, sempre houve e continuará a haver – a questão é da sua gravidade.
Já o terceiro da Weired, o “Misterioso ataque ao iOS”, com que começaste no primeiro comentário, é precisamente aquele que referi acima, e que coloquei o link (apple/newsroom) – do ataque da China aos utilizadores Uigures através de 12 sites.
Quando a vulnerabilidade já tinha sido resolvida, o Projeto Zero da Google divulgou uma notícia sem referir quem eram os atacantes , os atacados e os sites. Deu-me a impressão que foi propositado, para dar a entender que o ataque estava por todo o lado. À Apple é que isso não lhe conveio e acusou diretamente a China.
No caso, como diz a Wired, foi explorada uma cadeia rara e intrincada de código que explorava 14 vulnerabilidades. O que coloca outra questão, quanto à segurança do iOS ou doutro SO – quando são Estados os atacantes a coisa complica-se.
A gravidade dos problemas não se mede pelo resultado da sua exploração mas pela potencialidade que essa exploração permite.
Um cofre de um banco trancado com uma braçadeira de plástico não é mais nem menos grave, em termos de segurança, dependendo da quantidade de dinheiro roubado.
Da mesma forma, as falhas que comentei são da mesma gravidade se forem exploradas em milhões de utilizadores, em 1 apenas, ou em nenhum.
Isto vindo de uma empresa americana de segurança da informação,das melhores que existem no mundo,como é a Zerodium,é uma péssima notícia para a Apple e principalmente para os seus dispositivos.Nos próximos 3 meses esta empresa não vai aceitar submissões de falhas da Apple.Quem diria ?? 😐
“Não se esperava que a segurança destes produtos da Apple tivesse atingido este nível.Não é aceitável que estas falhas existam neste número e que estejam provavelmente a ser exploradas ou prontas a tal.” Concordo em absoluto com o que afirma o Pedro Simões.
Como alguém disse acima, os comentários dessa empresa foram feitos para provocar barulho apenas
eu adoro o iOS mas.. para uma empresa com tanto € acho que podiam fazer mais mas quem sou eu
A Apple ou produtos da Apple não têm falhas de segurança, quem me disse foi o Tim Cook, tenho um email em que pedi auxilio aos techies da Apple e veio assinado pelo Tim Cook.
Não me espanta absolutamente nada… todos os sistemas operativos terão sempre falhas, a questão é se as corrigem rapidamente e eficientemente ou não. O que me espanta é chegar a 2020 e continuar a ver tanta carneirada fanboy acerca de seja qual for a marca ou s.o. Parece que nasceram ontem e vivem numa realidade alternativa.