Dada a segurança que a Apple coloca nos seus produtos, todas as empresas de segurança procuram ter acesso às falhas que surgem e que são descobertas. Estas valem muito dinheiro e são a porta para explorar novos serviços que oferecem.
A Zerodium é uma das mais conhecidas empresas deste ramo e agora veio anunciar que parou de aceitar novas submissões de falhas. São tantas as falhas do iOS e do Safari que tem em mãos que terá de parar por alguns meses.
Zerodium está inundada de falhas de produtos Apple
O iOS, os restantes sistemas da Apple e até o seu software são conhecidos por terem uma aura de segurança muito grande. A empresa aplica-se em manter as suas propostas livre de problemas, o que infelizmente nem sempre consegue.
Todas as falhas existentes valem muito no mercado da segurança e é aqui que a Zerodium entra em cena. Esta empresa veio agora alertar que está inundada de falhas de segurança do iOS e do Safari e vão interromper as submissões por 2 ou 3 meses.
We will NOT be acquiring any new Apple iOS LPE, Safari RCE, or sandbox escapes for the next 2 to 3 months due to a high number of submissions related to these vectors.
Prices for iOS one-click chains (e.g. via Safari) without persistence will likely drop in the near future.— Zerodium (@Zerodium) May 13, 2020
iOS e Safari são as principais fontes
Esta decisão surge agora, depois de um ano em que os problemas destas plataformas surgiram num valor anormalmente elevado. Estes aparentemente continuam altos e focam-se nas falhas do iOS de LPE (local privilege escalation), execução de e código remoto e fugas de sandbox do Safari.
A existência de muitas destas falhas leva à sua desvalorização neste mercado alternativo. Assim, a Zerodium quer manter algum controlo neste mercado controlado, mesmo prevendo que os valores a pagar venham a cair nos próximos meses.
Submissões são tantas que foram congeladas
O valor das falhas é de tal forma elevado que a Zerodium paga 2,5 milhões pela cadeia completa de uma falha persistente, zero click, no Android. Curiosamente, e ao contrário do que se poderia esperar, 2 milhões por uma similar no iOS.
Não se esperava que a segurança destes produtos da Apple tivesse atingido este nível. Não é aceitável que estas falhas existam neste número e que estejam provavelmente a ser exploradas ou prontas a tal.