ZvětšitGetty Images | Aurich Lawson
Poprvé v historii je bezpečnostní makléř Zerodium zaplatit vyšší cenu za útoky s nulovým dnem, které cílí na Android, než na vyplatí se za srovnatelné útoky zaměřené na iOS.
Aktualizovaný ceník zveřejněný v úterý ukazuje, že Zerodium bude nyní zaplatit 2,5 milionu USD za kus za „celý řetězec (Zero-Click) s perzistence ”Android-nulové dny ve srovnání s 2 miliony dolarů pro iOS nulové dny, které splňují stejná kritéria. Předchozí program přehled nabídl 2 miliony dolarů za nezveřejněné využití systému iOS, ale provedené žádný odkaz na využití pro Android. Zakladatel zerodia a generální ředitel Chaouki Bekrar řekl Arsovi, že makléř zaplatil za „případ od případu základ v závislosti na řetězci “pro využití systému Android.
„Záplavy využívají iOS“
Bekrar řekl Arsovi, že tah byl vyvolán množstvím pracujících iOS využívají řetězce, které se časově shodují s rostoucími obtížemi najít srovnatelné výhody pro verze 8 a 9 pro Android. V zpráva, Bekrar napsal:
V posledních několika měsících jsme zaznamenali nárůst počet využití systému iOS, většinou řetězců Safari a iMessage vyvinuté a prodávané vědci z celého světa. trh s nulovým dnem je tak zaplaven těmi, které využíváme iOS, než jsme nedávno začal některé z nich odmítat.
Na druhou stranu se zabezpečení Androidu zlepšuje s každým novým vydání OS díky týmům zabezpečení Google a Samsung, takže bylo velmi obtížné a časově náročné se plně rozvinout řetězy exploitů pro Android a je ještě těžší vyvinout nulu exploity kliknutí nevyžadují žádnou interakci uživatele.
V souladu s těmito novými technickými výzvami souvisejícími Věříme, že zabezpečení Android a naše pozorování tržních trendů přišel čas přidělit Androidu nejvyšší odměny využívá, dokud Apple znovu nezlepší zabezpečení systémů iOS a posiluje své nejslabší části, kterými jsou iMessage a Safari (Webkit a pískoviště).
Moderní operační systémy obsahují různé zabezpečení ochrany, které obvykle vyžadují, aby útočníci kombinovali dva nebo více využívá v útočném řetězci, přičemž každý odkaz řeší jiný aplikace nebo obrany. Využití nulového kliknutí je to, co není vyžadují jakoukoli interakci ze strany koncového uživatele. Anvyužít, který přijde v textové zprávě a umožňuje útočníkovi převzít kontrolu nad zařízením je příklad. Vykořisťujte jedním kliknutím naopak vyžaduje, aby koncový uživatel podnikl minimální kroky, například navštěvování webových stránek v pasti.
Wakeup call
Další čtení
Vyzbrojeni iOS 0days hackeři bezohledně infikovali iPhone pro dva rokyZměna cen přichází čtyři dny poté, co vědci z Projekt Google Zero hlásil, že uživatelé plně opravených verzí iOS byly zranitelné vůči iOS nultým dnem, které byly využity v EU divoký déle než dva roky. Útoky proti 14 samostatným zranitelnosti byly zabaleny do pěti samostatných řetězců exploit který útočníkům dal možnost kompromitovat aktuální zařízení.
Útoky byly vedeny z malé sbírky hackerů weby, které využívají vykořisťování, na všechny bez rozdílu zaútočily Zařízení iOS, které navštívilo. Útočníci použili exploity k instalaci malware, který ukradl fotografie, e-maily, přihlašovací údaje, živě údaje o poloze a další z telefonů iPhone a iPad. Projekt Zero vědci neidentifikovali žádný z webů, které hostily využívá. V pondělí vědci z bezpečnostní firmy Volexity identifikovalo 11 webových stránek sloužících návštěvníkům Ujguru a východního Turkistánu to pravděpodobně sloužilo iOS využívá. Volexity post řekl jeden z stránky také zřejmě zneužívaly zranitelnost Androidu přestal fungovat v roce 2017 s vydáním Chrome 60.
Projekt Zero hlásí, že webové stránky otevřeně a bez rozdílu využíval nulové dny iOS iOS déle než dva roky napadl mnoho konvenčních předpokladů jistotu vědci o bezpečnosti v mobilním operačním systému Apple. Dříve, mnoho předpokládaných řetězců útoků s nulovým nebo jedním kliknutím fungovalo proti poslední verzi iOS byly tak drahé a vzácné, že byly byly použity střídmě. Nebezpečný způsob, jakým byly zneužity využity weby objevené v Project Zero navrhly nepublikovaný iOS útoky byly hojné, a to i přes značné odborné znalosti je rozvíjet.
„Poslední sada nultých dnů ovlivňujících platformu Apple oznámila společnost Google Project Zero byly trochu probuzení hovoru narušuje naše názory na ekosystém iOS a jeho bezpečnost, “Jérôme Segura, ředitelka zpravodajské jednotky o hrozbách u poskytovatele antivirových služeb Malwarebytes, řekl Ars. “I když je pravda, že Apple řídí hardware a aktualizace operačního systému jsou přijímány rychle, vidíme důkaz, že odhodlaní útočníci jsou schopni obejít zabezpečení iOS mechanismy více než v minulosti. “
Aktualizace společnosti Zerodium uvedla, že na Android se vztahuje 2,5 milionu dolarů verze 8 a 9. Aktualizace neodkazuje na Android 10, který byl propuštěn v úterý, ale Bekrar řekl Ars, že tato verze je pokryté také. Zatímco Zerodium platí 2,5 milionu USD a 2 USD milión za nulové kliky pro Android a iOS, respektive nejvyšší cena za srovnatelné využití cílení na plochu Vrcholy OSes dosahují 1 milionu dolarů.
„Mobilní uživatelé by se neměli bát jako celková bezpečnost mobilní zařízení jsou dnes mnohem lepší než jakýkoli notebook nebo počítač, “řekl Bekrar.
