Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Zimperium compra exploits para reparar vulnerabilidades de móviles
La empresa de seguridad móvil Zimperium anunció que comenzará a comprar explotaciones, pero a diferencia de otros programas, no se compraran días cero.
El Programa de adquisición de exploits de N-días de la compañía podría pagar a investigadores desde 1.5 millones de dólares para exploits dirigidos a vulnerabilidades en Android y iOS que ya han sido arreglados.
Zuk Avraham, fundador de Zimperium, dijo que el programa no solo servirá para entrenar el motor de aprendizaje del núcleo interno de la máquina Z9 de la compañía, sino también alentar y recompensar a los programadores a desarrollar explotaciones de prueba de concepto que podrían empujar a las compañías y fabricantes de teléfonos para mejorar la liberación de reparaciones a los dispositivos.
"No somos una compañía de adquisición de exploits; no hacemos cosas ofensivas. Tenemos los mismos valores desde nuestra perspectiva trabajando en días N", explicó Avraham. "Ahora los días N son del valor cero. Vamos a ayudar a crear valor para las vulnerabilidades que se venden por cero y que valen más que eso."
"Estas cosas necesitan ser compartidas para que la comunidad se mejore y sea más segura", dijo Avraham, señalando otros programas de adquisición de exploits que no comparten públicamente los resultados. "Tenemos que cambiar eso, ya que es lo que provocó la creación de este programa".
Avraham señaló que debería tener más urgencia, especialmente Android, para que los fabricantes de teléfonos y los expedidores presenten parches y mejoren la seguridad general del ecosistema. Exploits que salen del programa, por ejemplo, pone más PoC en manos de la industria, algunos de los cuales podrían ser reacios a entregar parches oportunos sin explotar el trabajo público", dijo Avraham.
"Android mejoró y es mucho más seguro si se encuentra en la última versión, pero desafortunadamente solo 0.5% utilizan la última versión", agregó Abraham.
Una mirada a los boletines mensuales de seguridadc de Android mostrará la gran cantidad de vulnerabilidades que Google evalúa y soluciona periódicamente para el sistema operativo móvil. Mientras Google repara sus teléfonos Nexus en actualizaciones sobre-el-aire, ese proceso representa solo un porcentaje del mercado móvil que ejecuta dispositivos en los niveles de parches actuales.
El ecosistema Android sigue rezagado en general sobre soluciones completas. No obstante, si bien Apple regularmente emite actualizaciones de sus dispositivos, todavía se basa en los usuarios para realizar la descarga e instalarlas.
"Todavía no estamos allí y podemos mejorar", añadió Avraham, admitiendo las mejoras realizadas desde el lanzamiento de revisiones mensuales de parches de Android desde Google y el número de errores críticos en Mediaserver y Stagefright que se han encontrado y reparado. "Ha mejorado, pero sigue siendo un trabajo muy desafiante."
Avraham dijo que el programa está programado para funcionar al menos un año, pero dependiendo de si tiene éxito, podría extenderse. "Con este programa, pensamos que podemos ser creativos, apoyaríamos a la comunidad y haríamos algo diferente por una vez", agregó.
