Alguien se acaba de ganar 1 millón de dólares por hackear el nuevo iPhone

Los aparatos de Apple son considerados extremadamente seguros y difíciles de hackear, pero como dice el viejo adagio de Internet, todo puede ser hackeado— Incluso el nuevo iPhone.

Durante el fin de semana pasado alguien reclamó el millón de dólares de recompensa que prometió la nueva startup Zerodium, de acuerdo a Chaouki Bekrar, un conocido comerciante de vulnerabilidades desconocidas o muy nuevas (zero-day como se conocen en inglés).

Our iOS ZerodiumNovember 2, 2015

El desafío consistía en encontrar una forma de hacer jailbreak (o destrabar) al nuevo iPhone o al nuevo iPad de forma remota, estos debían estar corriente la última versión del sistema operativo iOS (en este caso iOS 9.1 y 9.2b), permitiendo que el atacante instalara cualquier aplicación que quisiera y con todos los privilegios. El ataque inicial (de acuerdo a las reglas de la recompensa) debía venir desde Safari, Chrome o un mensaje multimedia o de texto.

Esto esencialmente significaba que el participante tenía que encontrar una serie de errores zero-day, de acuerdo a Patrick Wardle, un investigador que trabaja para la firma de seguridad Synack. Por ejemplo el grupo chino de hackers de sombrero blanco (que no hacen el mal) llamado Pangu ya había encontrado un método para hacer jailbreak en el nuevo iPhone, pero ese método no funciona de forma remota.

En otras palabras, no era un desafío fácil. De hecho a mediados de Octubre, Bekrar le dijo a Motherboard que nadie había reclamado el premio aun, pese a que Zerodium estaba en contacto con dos equipos que estaban trabajando de forma independiente. Los dos dijeron que estaban "estancados" y no podían superar un mismo obstáculo.

"Lograr que el jailbreak funcione de forma remota a través de Safari o Chrome requiere de dos o tres ataques adicionales, comparado a un jailbreak local" me dijo Bekrar a través de un mensaje directo en Twitter, agregando que estaba reflexionando sobre la posibilidad de extender el desafío.

Eventualmente uno de los dos equipos encontró una forma.

"El equipo ganador presentó el ataque tan solo unas pocas horas antes de que expirara la recompensa de Zerodium" le escribió Bekrar a Motherboard en un email.

Bekrar explicó que el equipo ganador encontró un "número de vulnerabilidades" en Chrome e iOS para saltarse "casi todas las atenuaciones" y lograr "un jailbreak remoto y sin ataduras desde un navegador".

De ser cierto, esta es una hazaña considerable. Nadie ha encontrado una forma (al menos conocida públicamente) de hacer jailbreak a un iPhone de forma remota desde hace un año, cuando apareció iOS 7.

Muchas compañías, como Google y Facebook, han lanzado campañas durante los últimos años donde ofrecen recompensas a hackers que encuentren vulnerabilidades y las revelen a estas compañías para que puedan arreglarlas. También existen intermediarios en las recompensas, tales como HackerOne y Bugcrowd, que actúan como plataformas para la caza de vulnerabilidades. Apple no ofrece ningún programa de este tipo.

Bekrar y Zerodium, al igual que su antecesor VUPEN, tienen un modelo de negocios distinto. Ofrecen recompensas más grandes que las ofrecidas por las compañías tecnológicas y mantienen la vulnerabilidad en secreto, revenlandola sólo a ciertos clientes gubernamentales como la NSA.

Bekrar declinó identificar al equipo que ganó el premio, así como los detalles de la vulnerabilidad que encontraron. También declinó decir por cuánto dinero va a vender esta vulnerabilidad.

Pero no hay duda que, para algunos, esta vulnerabilidad es extremadamente valiosa. Las agencias de inteligencia, como la NSA y la CIA, han tenido problemas cuando intentan hackear iPhones para espiar a sus objetivos y el FBI se ha quejado públicamente por meses sobre la encriptación de Apple. Esta vulnerabilidad les permitiría sobrepasar cualquier medida de seguridad y entrar en el iPhone de su objetivo, interceptando llamadas, mensajes y los datos que están en el teléfono.

Una fuente que solía trabajar para la NSA le dijo a Motherboard hace un par de semanas que 1 millón de dólares es un buen precio para este tipo de vulnerabilidad, porque "si se lo vendes a las personas correctas" puedes ganar mucho más.

Apple no respondió a nuestra petición de comentarios.

De cualquier modo, algunos expertos no están sorprendidos que alguien haya reclamado el premio (pese a que un investigador está escéptico que Zerodium vaya a seguir adelante con su promesa de pagar). "Encontrar una vulnerabilidad adecuada no es tan chocante… si es que realmente pagan será una sorpresa" le dijo a Motherboard el investigador de seguridad independiente Jonathan Zdziarski, quien ha trabajado investigando los aparatos de Apple por años. "¿El premio es un millón de dólares? No creo que nadie lo crea realmente hasta que lo den. Pero si lo hacen, los apoyo".

Bekrar dice que Zerodium sigue probando la vulnerabilidad para estar seguros que "cumple con las reglas de la recompensa".

También agregó que Apple probablemente arreglará este error en "unas pocas semanas o meses" y que los clientes de Zerodium tienen la posibilidad de aprender sobre la seguridad de iOS y "tomar mejores decisiones sobre el aparato móvil que utilizarán (iOS vs Android), así se protegerán mejor a si mismos".

"Este desafío ha sido la mejor publicidad para Apple y ha confirmado que, una vez más, la seguridad de iOS es real y no sólo marketing" dice Bekrar. "Ningún otro software más que iOS merece una recompensa tan alta".

Wardle es el director de investigación en Synack, una firma que actúa como intermediario conectando a sus clientes con investigadores de seguridad. Él dijo hace unos pocos días que con cada nuevo lanzamiento, Apple soluciona "una tonelada de problemas de seguridad", lo que significa que por naturaleza los aparatos de Apple se pueden hackear.

"El sistema operativo de Apple no necesariamente está más libre de vulnerabilidades que otros" me dijo Wardle.

Y ahora, gracias a un desconocido grupo de hackers, sabemos que esto es cierto.