Zerodium, società privata che acquista bug di sicurezza software ed exploit dagli hacker, ha affermato che smetterà di premiare gli sviluppatori per gli exploit iOS. Il motivo? Ce ne sono troppi.
Zerodium è una nota società di sicurezza informatica che paga per acquisire exploit da ricercatori di sicurezza di terze parti. In molti casi, i pagamenti di Zerodium sono molto più alti rispetto al programma ufficiale di Apple.
We will NOT be acquiring any new Apple iOS LPE, Safari RCE, or sandbox escapes for the next 2 to 3 months due to a high number of submissions related to these vectors.
Prices for iOS one-click chains (e.g. via Safari) without persistence will likely drop in the near future.— Zerodium (@Zerodium) May 13, 2020
La società ha però annunciato lo stop all’acquisizione di ulteriori Local privilege escalation, esecuzione di codice in modalità remota o sandbox escape exploits “per i prossimi due o tre mesi a causa di un numero elevato di invii“. Inoltre, la società ha affermato che i prezzi per alcuni tipi di vulnerabilità di Safari su iOS probabilmente diminuiranno nel prossimo futuro.
In un successivo tweet, il fondatore di Zerodium, Chaouki Bekrar, ha affermato che la sicurezza di iOS è ormai “cotta“, aggiungendo che la mancanza di persistence exploits e un meccanismo di sicurezza chiamato PAC sono le uniche due cose che impediscono alla sicurezza di iOS di “andare a zero“. Aggiunge, però, che ci sono sempre più exploit in grado di aggirare il PAC e ci sono alcuni persistence exploits (0days) che funzionano con tutti gli iPhone e iPad.
iOS Security is fucked. Only PAC and non-persistence are holding it from going to zero…but we're seeing many exploits bypassing PAC, and there are a few persistence exploits (0days) working with all iPhones/iPads. Let's hope iOS 14 will be better.https://t.co/39Kd3OQwy1
— Chaouki Bekrar (@cBekrar) May 13, 2020
Probabilmente la decisione è stata presa in seguito al lockdown globale che sta dando più tempo ai ricercatori di sicurezza nello scovare questi bug. Un altro fattore potrebbe essere il fatto che iOS 13 è stato un sistema operativo piuttosto facile da “bucare“, tanto che il capo del software di Apple, Craig Federighi, ha voluto revisionare il processo di sviluppo per la prossima versione di iOS.
Questa non è la prima volta che Zerodium ha notato un eccesso di invii di exploit iOS. Già a settembre 2019, la società aveva dichiarato che, per la prima volta, avrebbe pagato di più per gli exploit Android rispetto a quelli iOS a causa della troppa offerta.