Apple

Zerodium tem tantas falhas do iOS e Safari que deixou de receber novas submissões

22 Comentários

Dada a segurança que a Apple coloca nos seus produtos, todas as empresas de segurança procuram ter acesso às falhas que surgem e que são descobertas. Estas valem muito dinheiro e são a porta para explorar novos serviços que oferecem.

A Zerodium é uma das mais conhecidas empresas deste ramo e agora veio anunciar que parou de aceitar novas submissões de falhas. São tantas as falhas do iOS e do Safari que tem em mãos que terá de parar por alguns meses.

iOS Safari Zerodium falhas submissões

Zerodium está inundada de falhas de produtos Apple

O iOS, os restantes sistemas da Apple e até o seu software são conhecidos por terem uma aura de segurança muito grande. A empresa aplica-se em manter as suas propostas livre de problemas, o que infelizmente nem sempre consegue.

Todas as falhas existentes valem muito no mercado da segurança e é aqui que a Zerodium entra em cena. Esta empresa veio agora alertar que está inundada de falhas de segurança do iOS e do Safari e vão interromper as submissões por 2 ou 3 meses.

https://twitter.com/Zerodium/status/1260541578747064326

iOS e Safari são as principais fontes

Esta decisão surge agora, depois de um ano em que os problemas destas plataformas surgiram num valor anormalmente elevado. Estes aparentemente continuam altos e focam-se nas falhas do iOS de LPE (local privilege escalation), execução de e código remoto e fugas de sandbox do Safari.

A existência de muitas destas falhas leva à sua desvalorização neste mercado alternativo. Assim, a Zerodium quer manter algum controlo neste mercado controlado, mesmo prevendo que os valores a pagar venham a cair nos próximos meses.

iOS Safari Zerodium falhas submissões

Submissões são tantas que foram congeladas

O valor das falhas é de tal forma elevado que a Zerodium paga 2,5 milhões pela cadeia completa de uma falha persistente, zero click, no Android. Curiosamente, e ao contrário do que se poderia esperar, 2 milhões por uma similar no iOS.

Não se esperava que a segurança destes produtos da Apple tivesse atingido este nível. Não é aceitável que estas falhas existam neste número e que estejam provavelmente a ser exploradas ou prontas a tal.

PUB
Autor: Pedro Simões
Partilhar:
Tags:
falhas ios safari submissões Zerodium

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Netflix voltou a aumentar a qualidade do seu streaming na Europa
Artigo anterior

Netflix voltou a aumentar a qualidade do seu streaming na Europa
Como está o estado da bateria do seu portátil? Estas apps do Windows 10 podem ajudar
Próximo artigo

Como está o estado da bateria do seu portátil? Estas apps do Windows 10 podem ajudar
PUB

Comentários

22

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Eu
    Eu

    Não se esperava? Os sistemas são criados por pessoas, e erros vão sempre existir. Onde está a dúvida?

    Responder
    1. Avatar de AqueleAmigo
      AqueleAmigo

      +1
      Realmente quem escreveu o artigo passa um ideia muito errada..
      Falhas todos têm, e nunca são poucas, independentemente qual seja.

      Responder
  2. Avatar de Dark Sky
    Dark Sky

    Ryan Narraine, estratega de segurança da Intel sobre o tweet da Zerodium:
    “Puros truques de relações públicas / marketing. Esses tweets trolls geram uma explosão de manchetes de “notícias” para o Zerodium.”
    E de certos posts, diria eu.

    O que diz o The Register, depois de citar Ryan Narraine:
    “Questionado sobre se a declaração de Zerodium reflete o estado real da segurança do iOS ou deve ser tomada como uma empresa que está apenas a tentar criar ondas, Patrick Wardle, principal pesquisador de segurança da Jamf Security e fundador da Objective-See, disse ao The Register que provavelmente é um pouco das duas coisas. .
    “Para pesquisadores / hackers de segurança do iOS, é improvável que a declaração de Zerodium seja uma surpresa”, disse ele. “O iOS é apenas mais um sistema operativo, o que significa que haverá bugs que podem ser explorados. E sim, eles podem ser mais difíceis de explorar (remotamente), mas vimos cair vezes sem conta (como o Google Project Zero e grupos como NSO mostraram) “.
    Mas ele sugeriu que o excesso de oferta alegado de vulnerabilidades também pode ser uma consequência da atual crise global do Covid. “Provavelmente existem muitos hackers presos em casa com tempo extra, ou talvez tenham perdido o emprego ou estejam em dificuldades financeiras, assim como uma grande parte da população”, disse Wardle. Acrescentou: “Adicione tempo e motivação financeira, ele disse, e você terá mais bugs.

    P.S. Sobre os famosos 2,5 milhões de dólares (Android) e 2 milhões (iOS) é – “até 2,5 milhões” e “até 2 milhões”. Como relações públicas/marketing foi notícia – “Vejam já se paga mais pelo Android!” – mas, ao certo, a Zerodium pagou quanto, num caso e noutro?

    Responder
  3. Avatar de Rui
    Rui

    Que novidade… Essa aura de segurança que vocês falam é treta… Apenas tem menos vírus, assim como o Linux porque tem menos utilizadores.
    Mas se tivesse metade dos utilizadores do windws ou Android… O sistema estaria todo infectado… Tem muitos problemas de segurança, no entanto o marketing é bom… E desvia essas suspeitas… Mas qualidade de segurança? É treta…

    Responder
  4. Avatar de Fulano
    Fulano

    Como já disse anteriormente… Volta Jobs que estes que lá estão não inovam nada e só querem lucro fácil à conta dos papalvos que acreditam no Pai Natal e no Coelhinho da Páscoa.
    Há muito que tanto o hardware como o software são apenas lixo sobrevalorizado.

    Responder
  5. Avatar de Paulo
    Paulo

    São submissões, não significa que todas sejam aceites. O pessoal anda com muito tempo nesta quarentena 🙂

    Responder
    1. Avatar de Paulo
      Paulo

      *tempo livre

      Responder
  6. Avatar de Pedro F.
    Pedro F.

    A Apple não é “segura”! Nem a Apple nem a Google nem nenhuma outra.
    A segurança não é uma característica. É uma unidade de medida. Há mais seguras e menos seguras. Mas no fundo, no fundo, a segurança anda em último plano no mundo das tecnologias…
    E a Apple não está pior do que já foi. A Apple criou uma imagem de “seguro” e de “inviolável” que era apenas isso. Uma imagem construída com recurso a um marketing excepcional.
    Mas o tempo tem vindo a revelar que a segurança sempre foi idêntica à da concorrência, ou seja, muito baixa…
    Ainda há uns meses foi descoberto um exploit que permitia a um hacker aceder e controlar a 100% um iPhone bastando para isso que o mesmo acedesse a um site… E era um bug do iOS inicial que só foi corrigido na versão 13 qualquer coisa…

    Responder
    1. Avatar de Dark Sky
      Dark Sky

      A coisa é então devida a um marketing excecional da Apple?
      É contrabalançada pelos post troll do tipo https://pplware.sitedev.pt/apple/google-volta-a-revelar-falhas-de-seguranca-da-apple-e-desta-vez-a-vitima-e-o-ios/
      (6 vulnerabilidade – são 6 porque o formato do ficheiro de imagem muda – denunciadas pelo Project Zero que crasham a ferramenta de leitura escrita de ficheiros de imagem). Foram apresentadas no post como grandes falhas de segurança que podem originar o controlo remoto do iPhone.

      Quanto ao ataque a que te referes, tem interesse lembrar que foram levadas a cabo por um Estado, para que não se fique com a ideia de que era um ataque generalizado – bastava aceder a um site e já está (não era o acesso completo, mas do que se sabe, era a dados importantes)
      https://www.apple.com/newsroom/2019/09/a-message-about-ios-security/

      O iOS tem bugs? Mas alguma vez a Apple disse o contrário? Do link acima:
      “A segurança é uma jornada sem fim e nossos clientes podem ter certeza de que estamos a trabalhar para eles. A segurança do iOS é incomparável, porque assumimos a responsabilidade total pela segurança do nosso hardware e software. As nossas equipes de segurança de produtos em todo o mundo estão constantemente a interagir para introduzir novas proteções e corrigir vulnerabilidades assim que são encontradas. Nunca interromperemos nosso trabalho incansável para manter nossos utilizadores seguros.”
      Mais do que isso não se pode prometer.
      A Google também trabalha para a segurança do Android? Ótimo.

      Responder
      1. Avatar de Pedro F.
        Pedro F.

        A “coisa” que é devida ao marketing é a falsa sensação de segurança.

        Responder
        1. Avatar de Dark Sky
          Dark Sky

          E a “outra coisa” é devida ao trollismo que ameaça com uma falsa sensação de insegurança,
          Experimenta, vai ao tweet do post e clica em Zerodium. Vês que:
          – A 3 de setembro a Zerodium publicou um tweet troll (ou seja, que gera uma explosão de manchetes de “notícias” para o Zerodium) que diz que paga (até) 2,5 milhões por um top exploit do Android e menos pelo iOS. Deu origem a muitos post troll, ou seja, que originam muitos comentários, em boa parte desinformados.
          . Tens mais uns 4 tweets a dizer que a Zerodium apoia isto ou aquilo.
          – E chegas ao tweet troll que deu origem ao atual post, que lhe acrescentou abundante prosa troll.
          O trollismo é um certificado de garantia dos produtos Apple – “O quê, só encontraram isto?”. O Android não tem esse benefício : )

          Responder
          1. Avatar de Pedro F.
            Pedro F.

            Trolismo ou sem ele, a apple tem vindo a ser exposta em falhas gravíssimas de segurança.
            Só quem não quer é que não vê.

          2. Avatar de DiogoF
            DiogoF

            Todos equipamentos tem falhas. O ios pode ter menos por ser criado só para 1 smartphone se fosse como o Android ia ser igual ou pior. A Apple depois Steve jobs e só marketing.

          3. Avatar de Dark Sky
            Dark Sky

            Por acaso não estou a ver, mas gostava. Uns exemplozitos vinham a calhar …
            O misterioso ataque da China, através de doze sites, para controlar a comunidade Uigur – que a Apple denunciou para não se espalhar a ideia de um ataque generalizado (link da Apple/newsroom acima) é um caso … não é o mesmo que várias/muitas falhas gravíssimas.

          4. Avatar de Pedro F.
            Pedro F.

            Agora diz que é tudo fake…

            https://www.forbes.com/sites/daveywinder/2020/02/11/platform-wars-2020-apple-security-threats-outpace-microsoft-windows-for-first-time/#5551a4fc7c5a

            https://www.forbes.com/sites/daveywinder/2019/11/09/siri-feature-can-leave-apple-mail-encrypted-text-unencryptedheres-the-fix/amp/

            https://www.wired.com/story/ios-attack-watering-hole-project-zero/

          5. Avatar de Dark Sky
            Dark Sky

            Os dois primeiros links, enfim, nada de especialmente grave. Ha vulnerabilidade, sempre houve e continuará a haver – a questão é da sua gravidade.

            Já o terceiro da Weired, o “Misterioso ataque ao iOS”, com que começaste no primeiro comentário, é precisamente aquele que referi acima, e que coloquei o link (apple/newsroom) – do ataque da China aos utilizadores Uigures através de 12 sites.

            Quando a vulnerabilidade já tinha sido resolvida, o Projeto Zero da Google divulgou uma notícia sem referir quem eram os atacantes , os atacados e os sites. Deu-me a impressão que foi propositado, para dar a entender que o ataque estava por todo o lado. À Apple é que isso não lhe conveio e acusou diretamente a China.

            No caso, como diz a Wired, foi explorada uma cadeia rara e intrincada de código que explorava 14 vulnerabilidades. O que coloca outra questão, quanto à segurança do iOS ou doutro SO – quando são Estados os atacantes a coisa complica-se.

          6. Avatar de Pedro F.
            Pedro F.

            A gravidade dos problemas não se mede pelo resultado da sua exploração mas pela potencialidade que essa exploração permite.
            Um cofre de um banco trancado com uma braçadeira de plástico não é mais nem menos grave, em termos de segurança, dependendo da quantidade de dinheiro roubado.
            Da mesma forma, as falhas que comentei são da mesma gravidade se forem exploradas em milhões de utilizadores, em 1 apenas, ou em nenhum.

  7. Avatar de SANDOKAN 1513
    SANDOKAN 1513

    Isto vindo de uma empresa americana de segurança da informação,das melhores que existem no mundo,como é a Zerodium,é uma péssima notícia para a Apple e principalmente para os seus dispositivos.Nos próximos 3 meses esta empresa não vai aceitar submissões de falhas da Apple.Quem diria ?? 😐

    Responder
    1. Avatar de SANDOKAN 1513
      SANDOKAN 1513

      “Não se esperava que a segurança destes produtos da Apple tivesse atingido este nível.Não é aceitável que estas falhas existam neste número e que estejam provavelmente a ser exploradas ou prontas a tal.” Concordo em absoluto com o que afirma o Pedro Simões.

      Responder
      1. Avatar de ervilhoid
        ervilhoid

        Como alguém disse acima, os comentários dessa empresa foram feitos para provocar barulho apenas

        eu adoro o iOS mas.. para uma empresa com tanto € acho que podiam fazer mais mas quem sou eu

        Responder
  8. Avatar de tipicoazeireiro
    tipicoazeireiro

    A Apple ou produtos da Apple não têm falhas de segurança, quem me disse foi o Tim Cook, tenho um email em que pedi auxilio aos techies da Apple e veio assinado pelo Tim Cook.

    Responder
  9. Avatar de Tiago Ferreira
    Tiago Ferreira

    Não me espanta absolutamente nada… todos os sistemas operativos terão sempre falhas, a questão é se as corrigem rapidamente e eficientemente ou não. O que me espanta é chegar a 2020 e continuar a ver tanta carneirada fanboy acerca de seja qual for a marca ou s.o. Parece que nasceram ontem e vivem numa realidade alternativa.

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.