No início do ano passado, falamos aqui sobre a empresa de segurança Zerodium, especializada na compra e venda de vulnerabilidades (exploits) inéditas descobertas em sistemas operacionais. À época, a firma estava pagando até US$2 milhões em determinadas falhas para o iOS — o dobro do máximo pago pela própria Apple no seu programa de recompensas para vulnerabilidades.
Pois recentemente, numa reviravolta surpreendente, a Zerodium anunciou que interrompeu a aquisição de brechas de segurança do iOS. O motivo? Aparentemente, já existem muitas delas — e, por conta disso, o preço médio das falhas deverá cair significativamente nos próximos meses.
Explico: ontem (13/5), a empresa foi ao Twitter anunciar que deixaria de adquirir, pelos próximos dois ou três meses, exploits relacionados ao iOS, ao Safari ou aos escapes de sandbox desses elementos:
O CEO da Zerodium, Chaouki Bekrar, detalhou a decisão ao CyberScoop, afirmando que o nível de segurança do iOS está caindo:
O mercado de vulnerabilidades zero-day [desconhecidas pelos seus criadores — no caso, a Apple] é baseado na oferta e na procura. Uma alta na oferta de exploits inéditos para um produto específico significa que o nível de segurança daquele produto está caindo, e o preço cai porque há muitas vulnerabilidades disponíveis. […] A firma agora está pagando US$0 por essas falhas, porque não as queremos mais.
Bekrar foi um pouquinho mais incisivo na sua conta pessoal do Twitter:
Resumindo tudo para quem não tem muita familiaridade com o mundo hacker, a moral da história (segundo a concepção de Bekrar, ao menos) é que o iOS 13 é, basicamente, uma “colcha de retalhos cheia de buraquinhos” — a ponto de causar uma desvalorização de 100% no mercado de vulnerabilidades para ele mesmo.
Obviamente, outros aspectos além da segurança do iOS 13 devem ser considerados aqui. Em tempos de pandemia e isolamento social, não é difícil imaginar que os hackers e pesquisadores de segurança tenham mais tempo nas mãos para descobrir falhas no sistema, aumentando, portanto, a oferta de vulnerabilidades. Além disso, a etiqueta de US$2 milhões oferecida anteriormente deve ter atraído muita gente para a pesquisa de falhas no iOS.
De qualquer forma, não há como negar: o iOS 13 é, sim, mais bugado do que o normal — a própria Apple já meio que admitiu isso indiretamente ao promover mudanças no desenvolvimento do sistema a partir da sua próxima versão. Ou seja, como disse o próprio Bekrar… agora é torcer para que o iOS 14 seja melhor.
via iMore