Quel est l'état actuel de la sécurité iOS? Selon la firme d'acquisition d'exploits Zerodium, La sécurité iOS ne fait plus si bien.
Il y a cinq ans, Zerodium offrait une récompense de $1 millions pour un navigateur, jailbreak non attaché dans iOS 9. Actuellement, la société a déclaré qu'elle ne paierait rien du tout pour certains bogues iOS. Pourquoi? Parce qu'il y a une offre excédentaire.
“Nous n'acquérirons PAS de nouveau Apple iOS LPE [élévation de privilèges locale], Safari RCE [exécution de code distant], ou bac à sable s'échappe pour les deux à trois prochains mois en raison d'un nombre élevé de soumissions liées à ces vecteurs,” Zerodium a dit dans un tweet. En outre, prix des chaînes iOS en un clic sans persistance, par exemple dans Safari, va probablement baisser dans un proche avenir.
Quel est le prix actuel des exploits iOS?
La liste de prix de Zerodium montre que l'exécution de code à distance de Safari et les failles locales d'élévation de privilèges étaient éligibles pour des paiements allant jusqu'à $500,000. Un exploit plus approfondi, comme une chaîne complète iOS sans clic avec persistance peut coûter jusqu'à $2 million, si le courtier d'exploit l'accepte.
Apparemment, iOS 13 a été cohérent en ayant des problèmes. Le système d'exploitation a eu 12 mises à jour depuis sa sortie initiale en septembre 2019. La plupart des mises à jour n'avaient pas de CVE cités, chercheurs soulignent.
En bref, “La sécurité iOS est foutue,” selon un tweet par le fondateur de Zerodium, Chaouki Bekrar.
Seulement [Codes d'authentification du pointeur] et la non-persistance l'empêche d'aller à zéro…mais nous voyons de nombreux exploits contourner PAC, et il y a quelques exploits de persistance (0journées) travailler avec tous les iPhones / iPads. Espérons iOS 14 sera mieux, Bekrar ajouté dans le même tweet.
Le marché des exploits mobiles a changé en septembre dernier, quand Zerodium a déclaré qu'il paierait plus pour les bugs Android que pour les bugs iOS. Une chaîne d'exploit Android zéro-clic qui ne nécessite aucune interaction de l'utilisateur pourrait permettre aux chercheurs de gagner jusqu'à $2.5 million, alors que la même chaîne d'exploit dans iOS était estimée à $2 million.
Comparé à ce que Zerodium proposait dans 2018, le prix des exploits Android a fait un bond à plusieurs reprises, comme le paiement utilisé pour atteindre $200,000.
Compte tenu de la nature du travail de Zerodium, les variations de prix peuvent être liés à l'intérêt croissant pour les exploits Android de l'application de la loi et des organismes gouvernementaux.