Qual è lo stato attuale della sicurezza iOS? Secondo la società di acquisizione exploit Zerodium, La sicurezza iOS non sta più andando molto bene.
Cinque anni fa, Zerodium stava offrendo una ricompensa di $1 milioni per un browser, jailbreak illimitato in iOS 9. Attualmente, la società ha detto che non pagherà nulla per alcuni bug di iOS. Perché? Perché c'è un eccesso di offerta.
“NON acquisiremo alcun nuovo LPE di Apple iOS [escalation di privilegi locali], Safari RCE [esecuzione di codice remoto], o sandbox scappa per i prossimi due o tre mesi a causa di un elevato numero di invii relativi a questi vettori,” Zerodium ha detto in un tweet. In aggiunta, i prezzi per le catene iOS con un clic senza persistenza, ad esempio in Safari, probabilmente cadrà nel prossimo futuro.
Qual è il prezzo attuale per gli exploit iOS?
Il listino prezzi di Zerodium mostra che i difetti di escalazione dei privilegi locali e di esecuzione del codice in modalità Safari erano stati idonei per pagamenti fino a $500,000. Un exploit più approfondito, come una catena completa iOS a zero clic con persistenza può costare fino a $2 milione, se il broker exploit lo accetta.
Apparentemente, iOS 13 è stato coerente nell'avere problemi. Il sistema operativo ha avuto 12 aggiornamenti dalla sua versione iniziale a settembre 2019. La maggior parte degli aggiornamenti non aveva citato CVE, ricercatori sottolineano.
In breve, “iOS Security è fottuto,” secondo un tweet del fondatore di Zerodium Chaouki Bekrar.
Solo [Codici di autenticazione del puntatore] e la non persistenza lo impediscono di andare a zero…ma stiamo vedendo molti exploit aggirare il PAC, e ci sono alcuni exploit di persistenza (0giorni) funziona con tutti gli iPhone / iPad. Speriamo iOS 14 sarà meglio, Bekrar ha aggiunto nello stesso tweet.
Il mercato degli exploit mobili è cambiato lo scorso settembre, quando Zerodium dichiarò che avrebbe pagato più per i bug Android che per i bug iOS. Una catena di exploit Android a zero clic che non richiede alcuna interazione da parte dell'utente potrebbe consentire ai ricercatori di pagare fino a $2.5 milione, mentre la stessa catena di exploit in iOS è stata stimata a $2 milione.
Rispetto a ciò che offriva Zerodium 2018, il prezzo per exploit Android ha saltato più volte, come la vincita usato per essere fino a $200,000.
Considerando la natura del lavoro di Zerodium, le variazioni di prezzo possono essere legati al crescente interesse per gli exploit di Android da forze dell'ordine e agenzie governative.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: