Se você tem tido a sensação de que o número de falhas acometendo o iOS aumentaram, saiba que isso não é apenas um sentimento; está mesmo acontecendo. Recentemente, comentamos um bug o qual permitia que sites invadissem o root (raiz) do iPhone apenas ao acessá-los, sem contar alguns outros casos graves que relatamos neste ano.

Esse “excesso” de falhas do iOS causou, inesperadamente, um efeito negativo para os hackers e especialistas que vivem da descoberta de bugs do sistema móvel da Maçã, como divulgado pela VICE. Nesse caso, a ZERODIUM (uma das empresas que possuem um programa de recompensa por descoberta de bugs) anunciou uma nova estrutura de preço que valoriza as vulnerabilidades do Android em detrimento das do iOS.

Mais precisamente, certas falhas no sistema operacional móvel do Google que permitem o acesso completo ao dispositivo sem exigir que o usuário faça alguma coisa (zero-click) agora valem US$2,5 milhões — enquanto a mesma vulnerabilidade no iOS custa US$2 milhões.

É como se o índice de “confiabilidade” do iOS fosse rebaixado, já que as chances de um novo bug aparecer são altas e ninguém está disposto a sair pagando mundos e fundos por aí. Tanto é verdade que a firma também diminuiu a recompensa pela descoberta de bugs zero-click do iOS de US$1,5 milhão para US$1 milhão. O fundador da ZERODIUM, Chaouki Bekrar, explicou essa desvalorização:

O mercado de falhas inexploradas é inundado por bugs do iOS, principalmente envolvendo o Safari e o iMessage, devido ao fato de que muitos pesquisadores de segurança focaram em explorar falhas do iOS em tempo integral. Eles absolutamente destruíram a segurança e as barreiras de proteção do sistema. Existem tantos tipos de falhas [do iOS] que estamos começando a recusar algumas delas.

Pensando no Android, Bekar disse que é muito difícil e demorado desenvolver cadeias completas de falhas no sistema operacional mais popular do mundo. Ele acrescentou que até a Apple “melhorar novamente a segurança de componentes do iOS”, como Safari e iMessage, as vulnerabilidades do Android serão mais valiosas.

É importante destacar, no entanto, que a ZERODIUM (bem como a Crowdfense) compõem apenas uma parte do mercado de programa de recompensas por bugs; ou seja, isso não indica, necessariamente, que os pesquisadores deixarão de continuar investigando o sistema da Maçã — afinal, a própria Apple expandiu recentemente as recompensas do seu programa, aumentando a sua participação nesse nicho.

via ZDNet

Taggeado:

Posts relacionados

Comentários