Wat is de huidige status van iOS-beveiliging? Volgens exploitatiebedrijf Zerodium, iOS-beveiliging doet het niet meer zo goed.
Vijf jaar geleden, Zerodium bood een beloning van $1 miljoen voor een browsergebaseerd, ongebonden jailbreak in iOS 9. Momenteel, het bedrijf zei dat het helemaal niets zal betalen voor sommige iOS-bugs. Waarom? Omdat er een overaanbod is.
“We zullen GEEN nieuwe Apple iOS LPE aanschaffen [escalatie van lokale privileges], Safari RCE [uitvoering van externe code], of sandbox ontsnapt de komende twee tot drie maanden vanwege een groot aantal inzendingen met betrekking tot deze vectoren,” Zerodium zei in een tweet. Bovendien, prijzen voor iOS one-click chains zonder persistentie, bijvoorbeeld in Safari, zal in de nabije toekomst waarschijnlijk dalen.
Wat is de huidige prijs voor iOS-exploits?
Uit de prijslijst van Zerodium blijkt dat Safari externe code-uitvoering en lokale privilege-escalatiefouten in aanmerking kwamen voor betalingen tot $500,000. Een grondiger exploitatie, zoals een zero-click iOS volledige keten met volharding kan oplopen tot $2 miljoen, als de exploit-makelaar het accepteert.
Blijkbaar, iOS 13 heeft consequent problemen gehad. Het besturingssysteem heeft gehad 12 updates sinds de eerste release in september 2019. De meeste updates bevatten geen geciteerde CVE's, onderzoekers wijzen erop.
Kortom, “iOS-beveiliging is fucked,” volgens een tweet door Chaouki Bekrar, de oprichter van Zerodium.
Alleen [Aanwijzerverificatiecodes] en niet-persistentie houdt het tegen om naar nul te gaan…maar we zien veel exploits die PAC omzeilen, en er zijn een paar persistentie-exploits (0dagen) werken met alle iPhones / iPads. Laten we hopen dat iOS 14 zal beter zijn, Bekrar voegde toe in dezelfde tweet.
De markt voor mobiele exploits is afgelopen september verschoven, toen Zerodium verklaarde dat het zou betalen meer voor Android-bugs dan iOS-bugs. Een Android zero-click exploit-keten die geen gebruikersinteractie vereist, kan onderzoekers een uitbetaling van maximaal opleveren $2.5 miljoen, terwijl dezelfde exploitketen in iOS werd geschat op $2 miljoen.
Vergeleken met wat Zerodium te bieden had 2018, de prijs voor Android exploits heeft meerdere keren gesprongen, zoals de uitbetaling vroeger tot $200,000.
Gezien de aard van het werk Zerodium's, de prijs veranderingen kunnen worden gekoppeld aan de groeiende interesse in Android exploits van de rechtshandhaving en overheidsinstellingen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: