Zerodium, una spregiudicata startup che non comunica le vulnerabilità ai costruttori (come tipicamente avviene per prassi nel settore della sicurezza informatica), afferma che non offrirà più ricompense agli sviluppatori che individuano vulnerabilità iOS perché – a suo dire – ricevono già troppe segnalazioni.
Di più: il fondatore della società si spinge ben oltre, anche utilizzando termini che qui non possiamo e non vogliamo tradurre, ma in sostanza dichiarando che la sicurezza di iPhone e iPad è un colabrodo. Una affermazione in netto contrasto con l’evidenza e i numeri di bug, virus, malware e altre minacce informatiche che quotidianamente vengono rilevati su Android e, solo in numero infinitamente inferiore, su iPhone, iPad e anche Mac.
Questa startup, si è fatta notare in passato per il suo comportamento e pratiche ai limiti della legalità. Anziché – come normalmente si fa – comunicare ai produttori la scoperta di vulnerabilità e renderle pubbliche dopo alcuni mesi in assenza di fix, preferisce usarle per scopi commerciali, vendendole a chi offre di più. Come abbiamo già rilevato in altri articoli, l’obiettivo di Zerodium è acquistare vulnerabilità zero-day (sfruttabili sin dalla loro scoperta) per venderle probabilmente ai migliori offerenti.
Tra i potenziali clienti: NSA, CIA, FBI e simili che non hanno problemi a pagare cifre molto superiori a quanto mettono a disposizione Apple e altri big del settore.
Vulnerabilità come quelle di tipo zero-day sono estremamente importanti ed hanno un forte impatto sul mondo della sicurezza. La loro criticità è evidente: chiunque sia a conoscenza di una debolezza in un qualunque software, ignota ai suoi stessi creatori, può utilizzarla a proprio favore, agendo in modo indisturbato nel tentativo di portare a termine determinati attacchi.
We will NOT be acquiring any new Apple iOS LPE, Safari RCE, or sandbox escapes for the next 2 to 3 months due to a high number of submissions related to these vectors.
Prices for iOS one-click chains (e.g. via Safari) without persistence will likely drop in the near future.— Zerodium (@Zerodium) May 13, 2020
Su Twitter, Zerodium scrive che l’azienda metterà in pausa “per due o tre mesi” il sistema di segnalazione di diversi tipi di vulnerabilità iOS. Tra questi: meccanismi per il privilege escalation (lo sfruttamento di una falla, di un errore di progetto o di configurazione di un software applicativo o di un sistema operativo al fine di acquisire il controllo di risorse macchina normalmente precluse a un utente o a un’applicazione), l’esecuzione in remoto di codice o altri sistemi che consentono di aggirare la sandbox (meccanismo per eseguire applicazioni in un determinato spazio di memoria). L’azienda afferma ancora che i prezzi di alcune tipologie di vulnerabilità “on-click” di Safari per iOS sono destinati molto probabilmente a scendere in futuro.
In un successivo tweet, Chaouki Bekrar, fondatore di Zerodium afferma che la sicurezza di iOS è compromessa, impiegando un aggettivo irripetibile, affermando che l’assenza di persistenza e meccanismi di sicurezza denominati “pointer authentication codes” sono le uniche due cose che impedirebbero di far saltare tutti i meccanismi di protezione.
iOS Security is fucked. Only PAC and non-persistence are holding it from going to zero…but we're seeing many exploits bypassing PAC, and there are a few persistence exploits (0days) working with all iPhones/iPads. Let's hope iOS 14 will be better.https://t.co/39Kd3OQwy1
— Chaouki Bekrar (@cBekrar) May 13, 2020
Alcuni ricercatori ritengono che il lockdown, con tante persone bloccate in casa, abbia consentito a molti di individuare exploit; vari bug di iOS 13 avrebbero contribuito alla situazione e Craig Federighi, a capo dello sviluppo software di iOS, a novembre dello scorso anno aveva annunciato un diverso sistema di test per tutti i futuri sistemi operativi, con migliorie che dovremmo vedere – anche sul versante sicurezza – in iOS 14. In ogni caso, non esistono software infallibili e inattaccabili. Per gli utenti valgono i consigli di sempre: fare attenzione a ciò che si scarica, accetta, clicca e tenere sempre aggiornato il software e/o il firmware dei dispositivi.
Tutti gli articoli di macitynet dedicati alla sicurezza sono disponibili da questa pagina. Tutti gli articoli di macitynet dedicati a iPhone sono disponibili nella sezione dedicata del nostro sito, invece per tutte le notizie e le novità sull’universo Android si parte da questo collegamento.