Hvad er den aktuelle tilstand af iOS-sikkerhed? Ifølge udnyttelseskøb selskabet Zerodium, iOS-sikkerhed klarer sig ikke så godt længere.
Fem år siden, Zerodium tilbød en belønning af $1 millioner til en browser-baseret, ubundet jailbreak i iOS 9. I øjeblikket, selskabet sagde, at det slet ikke vil betale noget for nogle iOS-bugs. Hvorfor? Fordi der er et overforsyning.
“Vi køber IKKE nogen ny Apple iOS LPE [lokal privilegering], Safari RCE [fjernkørsel af programkode], eller sandkasse slipper ud i de næste to til tre måneder på grund af et stort antal indsendelser relateret til disse vektorer,” Zerodium sagde i en tweet. Desuden, priser for iOS-klikkæder uden vedholdenhed, for eksempel i Safari, vil sandsynligvis falde i den nærmeste fremtid.
Hvad er den aktuelle pris for iOS-udnyttelse?
Zerodiums prisliste viser, at Safari fjernudførelse af kode og lokale eskaleringsfejl havde været berettiget til betalinger på op til $500,000. En mere grundig udnyttelse, såsom en nul-klik iOS fuld kæde med vedholdenhed kan koste op til $2 millioner, hvis udnyttelsesmægleren accepterer det.
Tilsyneladende, iOS 13 har været konsekvent i at have problemer. Operativsystemet har haft 12 opdateres siden dens første udgivelse i september 2019. De fleste af opdateringerne havde ingen citerede CVE'er, Forskerne påpeger.
Kort, “iOS-sikkerhed er kneppet,” ifølge en tweet af Zerodiums grundlægger Chaouki Bekrar.
Kun [Pointer-godkendelseskoder] og ikke-vedholdenhed holder det fra at gå til nul…men vi ser mange udnyttelser ved at omgå PAC, og der er et par vedholdende udnyttelser (0dage) arbejder med alle iPhones / iPads. Lad os håbe iOS 14 vil blive bedre, Bekrar tilføjet i den samme tweet.
Markedet for mobiludnyttelse skiftede i september sidste år, da Zerodium erklærede, at det ville betale mere til Android-bugs end iOS-bugs. En Android-nul-klik-udnyttelseskæde, der ikke kræver nogen brugerinteraktion, kunne få forskerne en udbetaling på op til $2.5 millioner, hvorimod den samme udnyttelseskæde i iOS blev estimeret til $2 millioner.
Sammenlignet med hvad Zerodium tilbyder i 2018, prisen for Android exploits har sprunget flere gange, som udbetalingen plejede at være op til $200,000.
I betragtning af arten af Zerodium arbejde, prisændringerne kan være knyttet til den stigende interesse for Android bedrifter fra de retshåndhævende og offentlige institutioner.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: