lunes, septiembre 02, 2019

Apple, el pago de los exploits de Remote Jailbreak para iPhone y el cariño a los Security Researches

Era el año 2017 en San Diego, una de mis ciudades favoritas de Estados Unidos. No solo porque en ella se haga la mítica ComicCON o porque desde hace diez años pasara por primera vez por ella para participar en la ToorCON. Es de mis ciudades favoritas porque es muy tranquila, grande, con buen clima, y está en un enclave del planeta única. Esto hizo que incluso John Matherly, creador de Shodan la eligiera como base de operaciones.

Figura 1: Apple, el pago de los exploits de Remote Jailbreak para iPhone
y el cariño a los Security Researches

Ese año, el año 2017, pasé por allí con mi amigo Kevin Mitnick. Habíamos tenido una cena mítica en la que conocí a Steve Wozniak. Ya os conté cómo fue aquel encuentro entre Kevin Mitnick, Steve Wozniak y yo, pero entre los detalles de la cena hablamos de una cosa muy concreta - ahora vuelvo a San Diego, no os preocupéis -. El dibujo que veis en la foto, lo tengo en mi despacho en Telefónica,


Durante la cena que tuvimos en San José, en una de las innumerables conversaciones que tuvimos - hablamos de láseres, de Tesla, de hacking de coches, de cómo Steve construyó el Apple I, de cómo yo acabé en Telefónica, de cómo era Steve Jobs, de cómo Kevin Mitnick había llamado a Steve Wozniak en mitad de su juicio antes de dar con los huesos en la cárcel, de cómo Kevin se había puesto fuerte haciendo deporte allí, de cómo usando ingeniería social se coló en... bueno, esas cosas yo creo que no las puedo contar por aquí, necesitaría unas cervezas antes de desvelar esas historias.

Figura 3: Contactar con Kevin Mitnick en MyPulicInbox

Entre todas ellas, hablamos también de DirtyTooth y de cómo habíamos construido un altavoz BlueTooth para robar los contactos de las personas que se conectaban a él. Se lo expliqué a Steve Wozniak y él me dijo algo como: "Vaya bug. Apple debería arreglar eso porque afecta a la privacidad de los usuarios". Me quedé un poco sorprendido al inicio, pero no me defraudó en absoluto siendo como es él, un hacker. Mis experiencias con las grandes empresas de tecnología hasta el momento habían sido del tipo "Gacias" o  "It´s not a bug, it´s a feature".

No, no me malinterpretéis, y con Apple en concreto que hemos reportado muchas cosas y lo han recibido bien. Si es una inyección de código tipo XSS o SQLi o un desbordamiento de memoria, la cosa suele ser más directa, pero cuando se trata de un fallo lógico o de configuración por defecto, o de diseño, la cosa suele cambiar.

Figura 4: Reportes de Bugs de Apple hechos en el 2011 automatizando escaneos con FOCA

Yo le dije que al final el usuario debería elegir con qué dispositivo se conecta, pero que creía que Apple debía de añadir ese mensaje que hoy en día pone dejándole elegir si quería compartir los contactos o no. Ante esa afirmación, todos estuvimos de acuerdo, pero Kevin Mitnick - que es como un niño grande - dijo que mejor que no lo cambiaran, que no lo reportara que no nos lo iban a agradecer y que le gustaba esa demo para sus charlas.

El caso es que en el transcurso de la cena me pregunto sobre cuál había sido la respuesta de Apple sobre el bug. Y me pilló. Realmente no le había dado tanta importancia al tema de DirtyTooth. Había sido una idea curiosa que se me ocurrió y lo hicimos en ElevenPaths para la RootedCON y OpenExpo y la 8.8 que son conferencias de amigos, pero no había presentado nada en DefCON o BlackHat para hacer la presentación a lo grande. Pero que si a él le parecía que debía hacerlo, que me pondría en contacto con Apple inmediatamente.

Y se acabó la cena. 

Y Kevin Mitnick y yo nos fuimos a San Diego. Cada uno por su parte, que yo estaba en ruta, y él también. Pero nos juntamos allí, para dar una conferencia juntos en la ToorCON 2017 y hablar de ... sí, DirtyTooth. Pero después de lo que nos había dicho Steve Wozniak, deberíamos hablar antes con Apple, para ver si realmente querían parchear iOS frente a ataques DirtyTooth o no. Así que debíamos hacer algo.

Estando allí preparando la conferencia, Kevin me dijo que él me ayudaba. Al final a Kevin Mitnick le conoce todo el mundo, por lo que no parecía difícil que fuera a conocer a un tipo que conociera a un tipo que tuviera relación con el departamento de Apple Security. Y así pasó. Después que Kevin se hiciera como veinte fotos y vinieran treinta personas a saludarlo, me quedé hablando con - creo que se llamaba - "Steve", del departamento de seguridad de Apple. Tengo su tarjeta por algún sitio guardada.

En todas las conferencias de hacking lo mejor son las cervezas en los bares de la zona con la gente más interesante del mundo. Y allí le conté a "Steve" nuestro DirtyTooth, y de qué íbamos a hablar en la charla Kevin Mitnick y yo. Fue una charla chula hablando de la relación tradicional entre Apple y los Security Researchers. Curiosamente "Steve", por supuesto, era un Security Researcher que acababa de entrar en Apple para, entre otras cosas, abrir el famosa Bug Bounty de Apple que tanto pedía la comunidad.  Me encantó esa charla con él.


Figura 5: Chema Alonso y Kevin Mitnick: DirtyTooth en ToorCON 2017

Por supuesto, después de ver la charla, y de entender bien DirtyTooth me confirmó que Apple debía arreglar eso lo antes posible. Y así fue. En una versión posterior, Apple parcheó iOS y metió esa alerta de seguridad en el terminal que evita que los contactos se vayan volando a cualquier dispositivo BlueTooth que los quiera.


Lo más curioso de todo, y es por lo que me he acordado de aquella charla hoy, es que tuvo lugar en el verano de 2017, es decir, un año después de que estuviera "On the Wild"explotándose la campaña de iOS Exploit Chain que Google Project Zero acaba de desvelar y que permite a un atacante, con que la víctima visite solo una web, llevarse todos los datos del terminal iPhone o iPad de cualquier persona - no importa si lo tenías parcheado o no -.

Al final, cuando tienes un producto con un impacto en la vida de las personas como iPhone, que tiene más o menos el 20 % de cuota mundial - no de ventas, que ha bajado un poco, sino de utilización, que la vida media de iPhone es mayor que la de otros dispositivos -, ¿no debería Apple hacer el máximo esfuerzo por capturar todos los exploits de Remote JailBreak (RJB) como fuera posible? La respuesta evidente es sí. Pero no fue hasta ese verano de 2017 en el que "Steve" me dijo que iban a ponerlo porque no tenía sentido no tener mejor relación con los Security Researchers.
He visto a Security Researchers reportar bugs a compañías que podrían haber tenido un coste enorme, hacerlo gratuitamente, solo porque lo que les motivaba a descubrirlos fue de todo menos el dinero, y valoraban más la relación con los fabricantes de software y ayudar a los usuarios que cualquier otra cosa. Pero no me malinterpretéis, me parece lícito que un Security Researcher reciba dinero por descubrir un bug de un impacto tan alto como un RJB en iOS, donde por supuesto Apple ha hecho mucho por evitarlo.

No quiero que este debate se descentre yendo hacia el reporte de bugs de los Security Researcher, ya que va justo de lo contrario, de que si tienes un producto como iPhone, los premios a los Security Researches por exploits tan jodidos de hacer como los RJB (más vale que sean jodidos de encontrar y explorar de forma consistente, que si no el problema de Apple sería otro), deberían tener un premio gordísimo, a parte de dar mucho cariño a los Security Researchers que los reporten. Ahora mismo Zerodium lo tiene en 2 Millones de Dólares y Apple, después de que abriera su Bug Bounty puede pagar aproximadamente 1 M USD teniendo en cuenta que los paga por separado. En la guía de iOS Security están los premios.

Figura 9: Premios de Apple Bug Bounty para iOS

La pregunta que me hago, y que os dejo aquí, para una compañía como Apple que llegó a valer UN TRILLÓN DE DÓLARES en Enterprise Value (hoy vale 957.000 Millones de USD)  que tiene más del 50% de su negocio basado en iPhone..
¿Puede Apple permitirse que los exploits de RJB de iOS en iPhone lleguen a manos del cibercrimen por no dar cariño a los Security Researchers ni pagar lo que vale realmente un exploit de este tipo para ellos?
Yo creo que sí, debería dar más cariño, y sí, tal vez pagar mejor los RJB de iOS ... además de hacer más jodido que aparezcan.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

No hay comentarios:

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares