Descubrir un agujero de seguridad en iOS o macOS es cosa seria, si bien Apple tiene su propio programa de recompensa y paga a todo aquel que encuentre una vulnerabilidad, hay empresas de terceros que pagan aún mejor. Crowdfense, una empresa de Emiratos Árabes Unidos ofrece hasta 3 millones de dólares por las vulnerabilidades en los sistemas operativos de Apple.
Según indica Motherboard, la startup árabe está buscando agujeros de seguridad zero-day en los cuatro sistemas operativos principales: iOS, macOS, Windows y Android. La condición es que sean vulnerabilidades zero-day, es decir, que no hayan sido informados antes ni las empresas a las que pertenecen los sistemas operativos ni terceros.
Estos son los tipo de vulnerabilidades que Crowdfense busca.
Descubrir vulnerabilidades para... ¿ayudar a la sociedad?
Que una empresa quiera tener acceso a vulnerabilidades en iOS o macOS ya nos hace sospechar. Normalmente las empresas que buscan vulnerabilidades zero-day las aprovechan para saltarse la seguridad del sistema operativo, es así como surge el _jailbreak_ por ejemplo. Según la directora de Crowdfense, ellos quieren vender estas vulnerabilidades a las fuerzas de seguridad:
Cuando pienso en las agencias gubernamentales no pienso en la parte militar, pienso en la parte civil, que trabaja contra el crimen, el terrorismo y cosas por el estilo. Sólo nos centramos en herramientas destinadas a realizar actividades policiales o de inteligencia, no a destruir o deteriorar la funcionalidad y eficacia de los sistemas, sino sólo a recopilar información.
Las recompensas de Apple a menudos on ínfimas en comparación con las de otras empresas.
En otras palabras, buscan vender mecanismos para acceder a los dispositivos a las autoridades. El presupuesto actual del que disponen es de 10 millones de dólares, con recompensas de hasta 3 millones por cada vulnerabilidad. Suculento y comprensible cuando el programa de recompensa de Apple, por ejemplo, ofrece como máximo 200.000 dólares por una vulnerabilidad.
Vía | Motherboard
En Applesfera | Los hackers prefieren vender agujeros de seguridad en vez de notificarlos a Apple a cambio de una recompensa insuficiente
