È ormai un’usanza diffusa quella di finanziare gli hacker etici per individuare vulnerabilità nei software per poterli correggere prima che hacker malevoli le sfruttino per danneggiare gli utenti. Tuttavia, c’è chi, esasperato da software “pluri-buggati”, ha dichiarato che “smetterà provvisoriamente di acquisire nuove tecniche di aggressione”. La peculiarità? I software in questione sarebbero quelli di Apple!
Attraverso un tweet, l’azienda di sicurezza informatica Zerodium ha dichiarato che smetterà di accettare bug relativi agli iOS di Apple che portano a “escalation di privilegi locali”, che gli aggressori potrebbero usare per scavare più a fondo in un dispositivo infetto. Si tratta di bug relativi all’esecuzione di codice in modalità remota nel browser Safari o di “sandbox escape”, ovvero strumenti che consentono agli aggressori di spostarsi da un’app ad altre aree di un dispositivo di cui non avrebbero i relativi permessi.
In un tweet di risposta, Chaouki Bekrar, amministratore delegato di Zerodium, ha affermato che l’azienda sarebbe anche a conoscenza di alcune vulnerabilità zero-day che colpirebbero «tutti gli iPhone / iPad», anche se ha rifiutato di fornire maggiori dettagli a riguardo quando richiestogli dalla rivista specializzata in cyber security CyberScoop. Otto mesi fa Zerodium, per la prima volta, annunciava che i venditori di exploit che offrono nuovi modi di penetrare nei dispositivi Android potrebbero essere più remunerativi rispetto ad hack analoghi sui prodotti iOS. «Il mercato zero-day si basa su domanda e offerta. Un picco nella fornitura di exploit zero-day per un prodotto specifico significa che il livello di sicurezza di quel prodotto sta diminuendo e il prezzo scende poiché ci sono troppi exploit disponibili», ha dichiarato Bekrar.
Nei due mesi scorsi, Zerodium ha offerto fino a 200 mila dollari per un RCE relativo a Safari che funzionava sull’ultima versione di iOS del tempo, in calo rispetto ai 500 mila dollari offerti in passato. La società ora ha smesso di pagare per questi exploit: «Non li vogliamo più», ha ribadito il CEO.
Apple non ha ancora risposto a una richiesta di commento relativa all’episodio. Tuttavia, ha annunciato a settembre scorso di aver esteso il suo programma di bug bounty alla cifra di 1,5 milioni di dollari a determinate condizioni per gli hacker che troveranno nuovi modi per violare il sistema operativo dell'iPhone. Questo cambiamento si è verificato dopo che i ricercatori del team Project Zero di Google hanno rivelato che sospetti hacker cinesi avrebbero sfruttato 14 diverse vulnerabilità della Apple per spiare la popolazione musulmana uigura. La società ha anche affermato che a settembre avrebbe aperto al pubblico il suo programma di bug bounty dopo aver precedentemente lavorato con specifici ricercatori solo su invito.
Bekrar di Zerodium non ha rilasciato dichiarazioni sul perché così tanti exploit relativi ai software Apple abbiano invaso il mercato. Altri ricercatori hanno suggerito che il recente invito pubblico a sondare i sistemi Apple potrebbe aver portato un maggior numero di persone a riscontrare problemi nella tecnologia dell’azienda, ma a non segnalarli ad Apple a causa della difficoltà di lavorare con l’azienda: «Apple ha una pessima reputazione relativamente al pagamento degli hacker o di riconoscimento su quando dovrebbe avvenire il pagamento per questo lavoro ha detto il ricercatore Jake Davis.