EnlargeGetty Images | Аурих Лосън
За първи път брокерът за експлоатация на сигурност Zerodium е заплащане на по-висока цена за нулеви дни атаки, насочени към Android от плаща за сравними атаки, насочени към iOS.
Обновена ценова листа, публикувана във вторник, показва Zerodium вече плати 2,5 милиона долара за брой за “пълна верига (Zero-Click) с постоянство “Android нула дни в сравнение с $ 2 милиона за iOS нула дни, които отговарят на едни и същи критерии. Предишната програма преглед предложи 2 милиона долара за непубликувани подвизи на iOS, но направени никакво позоваване на подвизите за Android. Основател на Zerodium и главният изпълнителен директор Чауки Бекрар каза на Ars, че брокерът плаща „за всеки случай основа в зависимост от веригата “за експлоатации на Android.
„Наводнени от експлоатации на iOS“
Бекрар каза на Ars, че този ход е подтикнат от множество работещи iOS експлоатират вериги, което съвпада с нарастващата трудност на намиране на сравними експлоатации за версии 8 и 9 на Android. В съобщение, Bekrar написа:
През последните няколко месеца наблюдаваме увеличение на брой експлоатации на iOS, предимно Safari и iMessage вериги разработени и продадени от изследователи от цял свят. Най- Пазарът с нулев ден е толкова залят от експлоатациите на iOS, каквито сме наскоро започна да отказва някои от тях.
От друга страна, сигурността на Android се подобрява с всяка нова издаване на ОС благодарение на екипите за сигурност на Google и Samsung, така че стана много трудно и отнема много време, за да се развива пълноценно вериги от експлоатации за Android и още по-трудно е да се развие нула щракнете експлоатации, които не изискват никакво взаимодействие с потребителя.
В съответствие с тези нови технически предизвикателства, свързани с Сигурността на Android и нашите наблюдения върху тенденциите на пазара, ние вярваме че дойде време за разпределяне на най-високите щедрости на Android експлоатира, докато Apple не подобри отново сигурността на iOS и засилва най-слабите си части, които са iMessage и Safari (Webkit и пясъчник).
Съвременните операционни системи съдържат разнообразна сигурност защити, които обикновено изискват нападателите да комбинират две или повече експлоатации във веригата за атака, като всяка връзка се справя с различна молба или защита. Експлоатациите с нулево кликване са тези, които не са изискват изобщо взаимодействие от страна на крайния потребител. Anексплоатация, която пристига в текстово съобщение и позволява на нападателя да поемам контрола върху устройство е пример. Експлоатация с едно щракване от контраст, изисква крайният потребител да предприеме минимални действия, като например посещение на уебсайт в капан.
Събуждане по телефона
Допълнителна информация
Въоръжени с iOS 0days, хакери безразборно заразени iPhone за две годиниПромяната на цените идва четири дни след изследователите от Google Zero Project отчете, че потребителите на напълно закърнени версии на iOS бяха уязвими към нулевите дни на iOS, които бяха експлоатирани в див за повече от две години. Атаки срещу 14 отделни уязвимостите бяха пакетирани в пет отделни експлоатационни вериги което даде на нападателите възможността да правят компромиси в крак с времето устройства.
Атаките бяха проведени от малка колекция от хакнати уебсайтове, които използваха подвизите, за да атакуват безразборно всеки iOS устройство, което посети. Нападателите използвали подвизите за инсталиране злонамерен софтуер, който краде снимки, имейли, идентификационни данни за влизане, на живо данни за местоположение и още от iPhone и iPad. Проект Нула изследователите не идентифицираха нито един от уебсайтовете, които са хоствали подвизи. В понеделник изследователи от охранителната фирма Volexity идентифицира 11 уебсайта, обслужващи посетители на Уйгур и Източен Тукистан което вероятно послужи на подвизите на iOS. В публикацията на Volexity се казва един от изглежда, че сайтовете използват и уязвимост на Android спря да работи през 2017 г. с пускането на Chrome 60.
Проектът Zero докладва, че уебсайтовете открито и безразборно експлоатирани iOS нулеви дни в продължение на повече от две години оспорва много от конвенционалните предположения известна сигурност изследователите направиха сигурността на мобилната операционна система Apple. Преди това, много предположили атакуващи вериги за атака с нулев клик или едно щракване срещу последната версия на iOS бяха толкова скъпи и редки, че те бяха използвани умерено. Хазарният начин на използване на подвизите сайтовете, открити от Project Zero, предложиха непубликувани iOS атаките бяха изобилни, въпреки необходимия значителен опит да ги развие.
„Последният набор от нулеви дни, засягащ платформата на Apple обявени от Google Project Project Zero бяха малко повикване разбивайки нашите възгледи за екосистемата iOS и нейната сигурност “, Jérôme Сегура, директор на разузнавателната информация за заплахи в антивирусен доставчик Malwarebytes, каза пред Ars. „Въпреки че е вярно, че Apple контролира хардуер и че актуализациите на ОС се приемат бързо, виждаме доказателства, че решителните нападатели са в състояние да заобиколят сигурността на iOS механизми повече, отколкото в миналото. ”
В актуализацията на Zerodium се казва, че цената на 2,5 милиона долара е приложена към Android версии 8 и 9. Актуализацията не се позовава на Android 10, който беше освободен във вторник, но Бекрар каза на Ars, че тази версия е покрити също. Докато Zerodium плаща 2,5 милиона долара и 2 долара милион за експлоатационни вериги с нулев клик за Android и iOS, съответно, най-високата цена за сравними експлоатации, насочени към десктопа Операционните системи достигат 1 милион долара.
„Мобилните потребители не трябва да се притесняват като цялостната сигурност на мобилните устройства в днешно време са много по-добри от всеки лаптоп или компютър – каза Бекрар.