No es infrecuente que las firmas de seguridad ofrezcan dinero por fallos en sistemas operativos. Esos fallos, si son creativos, pasan a engrosar la lista de vulnerabilidades de día cero, o desconocidas para los desarrolladores del software. En el caso de iOS, si bien no es invulnerable como no lo es ningún sistema software, es más complicado de hackear que Android o Windows Phone.
Por eso también es difícil descubrir fallos que lleven a comprometer un dispositivo iOS, aunque la firma Zerodium está ofreciendo hasta 1 millón de dólares por vulnerabilidad que permita tomar el control de uno de los dispositivos de Apple. La oferta se mantendrá hasta el 31 de octubre o hasta que hayan pagado tres fallos de seguridad.
Como condiciones, deben poder ser utilizados en Safari o aplicación que haga uso de WebKit con la configuración por defecto de iOS 9 o al recibir un SMS/MMS, que se pueda ejecutar remotamente, sea fiable e indetectable, sin que sea preciso de ninguna interacción con el usuario, más allá de visitar una web o leer un mensaje de texto. Esto último hace referencia al fallo de seguridad Stagefright de Android, que se ejecuta automáticamente sin intervención del usuario al recibir por ejemplo un SMS.
La adquisición de este tipo de vulnerabilidad están siempre orientadas a usarlas para vender sus servicios para hackeos remotos, como los que realiza Hacking Team para los gobiernos.
Vía: Ars Technica.
