Mnoštvo iOS-ova 0 dana gura njihovu cijenu niže cijene onih za droid

Ilustracija računa u iznosu od 100 dolara usisanih u širokopojasnu mrežu.PovećajGetty slike | Aurich Lawson

Prvi put dosad je zastupnik zaštitnog iskorištavanja Zerodium plaćanje više cijene za nula dana napada koji ciljaju Android od plaća za usporedive napade koji ciljaju iOS.

Ažurirani cjenik objavljen u utorak pokazuje da će Zerodium sada biti platiti 2,5 milijuna dolara po komadu za “cijeli lanac (Zero-Click) s postojanost ”Android nula dana u usporedbi s dva milijuna dolara za iOS nula dana koji udovoljavaju istim kriterijima. Prethodni program pregled je ponudio dva milijuna dolara za neobjavljene podvige iOS-a, ali napravljen nikakva referenca na podvige za Android. Osnivač Zerodija i izvršni direktor Chaouki Bekrar rekao je Arsu da je broker plaćao “od slučaja do slučaja” osnova ovisno o lancu ”za Android iskorištava.

“Preplavljeni iOS eksploati”

Bekrar je za Ars rekao da je potez pokrenuo mnoštvo radnih iOS-a iskorištavati lance koji se poklapao sa rastućom teškoćom pronalaženje uporedivih iskorištavanja za verzije Androida 8 i 9. U poruku, Bekrar je napisao:

Tijekom posljednjih nekoliko mjeseci primijetili smo porast broja broj podviga iOS, uglavnom Safari i iMessage lanci koji su razvili i prodali istraživači iz cijelog svijeta. tržište bez ijednog dana toliko je preplavljeno iOS eksploatacijama koje smo imali nedavno počeo odbijati neke od njih.

S druge strane, sigurnost sustava Android poboljšava se sa svakim novim izdanje OS-a zahvaljujući sigurnosnim timovima Googlea i Samsung, tako da je postalo jako naporno i dugotrajno da se razvijemo u potpunosti lanci iskorištavanja za Android i još je teže razviti nulu klik iskorištava ne zahtijeva korisničku interakciju.

U skladu s ovim novim tehničkim izazovima koji se odnose na Sigurnost Androida i naša zapažanja o tržišnim trendovima, vjerujemo došlo je vrijeme da se Androidu dodijele najveće bogatstva eksploatira dok Apple ponovno ne poboljša sigurnost iOS-a i jača svoje najslabije dijelove koji su iMessage i Safari (Webkit i pijesak).

Suvremeni operativni sustavi sadrže raznoliku sigurnost zaštite koje obično traže da napadači kombiniraju dva ili više iskorištava u lancu napada, pri čemu se svaka veza bavi drugačijim prijava ili obrana. Iskorištavanja nula klika su ona koja nemaju zahtijevaju bilo kakvu interakciju krajnjeg korisnika. Aneksploata koja stiže u SMS poruci i dopušta napadaču da primjer preuzeti kontrolu nad uređajem. Iskorištavanje jednim klikom, nasuprot tome, zahtijeva krajnji korisnik da poduzme minimalne radnje, kao što su posjetiti internetsku stranicu zarobljenu uzalud.

Poziv za buđenje

Daljnje čitanje

Oružani iOS-om 0days, hakeri neselektivno zaraženi iPhoneima za Dvije godine Promjena cijena dolazi četiri dana nakon što su istraživači prišli Googleov projekt Zero izvijestio je da su korisnici potpuno zakrpljenih verzija iOS-a bili su ranjivi na iOS-ove nulte dane koji su iskorištavani u divlji više od dvije godine. Napadi protiv 14 odvojeni ranjivosti su spakirane u pet zasebnih lanaca iskorištavanja što je napadačima dalo mogućnost kompromisanja uređaji.

Napadi su izvedeni iz malene zbirke hakiranih web stranice koje su iskorištavale neselektivno za napad na svakoga iOS uređaj koji je posjetio. Napadači su koristili podvige za instaliranje zlonamjerni softver koji je krao fotografije, e-poruke, vjerodajnice za prijavu podatke o lokaciji i još više s uređaja iPhone i iPad. Nula projekta istraživači nisu identificirali nijednu web lokaciju koja je domaćin eksploatira. U ponedjeljak su istraživači sigurnosne tvrtke Volexity identificirano 11 web stranica koje služe posjetiteljima Uyghura i Istočnog Turkistana koji su vjerojatno poslužili iOS-ovima. U postu za Volexity rekao je jedan od također se pojavilo da se na web-lokacijama koristi ranjivost Androida prestao raditi u 2017. godini s izdavanjem Chromea 60.

Izvješće Project Zero o web stranicama otvoreno i neselektivno iskorištavali iOS-ove nulte dane više od dvije godine osporio je mnoge od konvencionalnih pretpostavki neku sigurnost istraživači su se bavili sigurnošću Appleovog mobilnog OS-a. Prethodno, mnogi su pretpostavili da su lanci napada s jednim ili jednim klikom djelovali protiv najnovije verzije iOS-a bili su toliko skupi i rijetki da su korišteni su rijetko. Nesretni način korištenja podviga mjesta koja je otkrio Project Zero sugerirali su neobjavljeni iOS napadi su bili obilni, usprkos značajnoj stručnosti razvijati ih.

“Posljednji skup nulte dane koji utječu na Appleovu platformu koju je najavio Googleov projekt Zero bili su pomalo budni pozivi uništavajući naše poglede na ekosustav iOS i njegovu sigurnost “, Jérôme Segura, direktor obavještajnih podataka o prijetnji na davatelju antivirusa Rekli su za Ars malverbajti. “Iako je istina da Apple kontrolira hardver i da se ažuriranja OS-a brzo usvajaju, vidimo dokaz da odlučni napadači mogu zaobići sigurnost iOS-a mehanizme više nego ranije. ”

U ažuriranju softvera Zerodium navedeno je da je cijena 2,5 milijuna dolara primijenjena na Android verzije 8 i 9. Ažuriranje se ne odnosi na Android 10, koji pušten je u utorak, ali je Bekrar za Ars rekao da je ta verzija pokriven. Dok Zerodium plaća 2,5 milijuna dolara i 2 dolara milion za eksploatacijske lance sa nultim klikom za Android i iOS, respektivno, najviša cijena za usporedive eksploatacije koje ciljaju radnu površinu OS-ovi imaju najviše milijun dolara.

“Mobilni korisnici ne bi trebali biti zabrinuti kao cjelokupna sigurnost mobilni uređaji su u današnje vrijeme puno bolji od bilo kojeg prijenosnog računala ili računalo “, rekao je Bekrar.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: