IngrandisciGetty Images | Aurich Lawson
Per la prima volta in assoluto, il broker di exploit per la sicurezza Zerodium è pagando un prezzo più elevato per gli attacchi zero-day che colpiscono Android rispetto a paga per attacchi comparabili rivolti a iOS.
Un listino prezzi aggiornato pubblicato martedì mostra che Zerodium lo farà ora pagare $ 2,5 milioni ciascuno per “catena completa (Zero-Click) con persistenza ”zero-day Android rispetto a $ 2 milioni per iOS zero-day che soddisfano gli stessi criteri. Il programma precedente la panoramica offriva $ 2 milioni per exploit iOS non pubblicati ma realizzati nessun riferimento agli exploit per Android. Fondatore di Zerodium e il CEO Chaouki Bekrar ha detto ad Ars che il broker ha pagato un caso per caso base in base alla catena “per exploit Android.
“Inondato da exploit iOS”
Bekrar ha detto ad Ars che la mossa è stata provocata da un eccesso di iOS funzionante sfruttare catene che hanno coinciso con la crescente difficoltà di trovare exploit comparabili per le versioni 8 e 9 di Android. In un messaggio, Bekrar ha scritto:
Negli ultimi mesi, abbiamo osservato un aumento del numero di exploit iOS, principalmente catene Safari e iMessage sviluppato e venduto da ricercatori di tutto il mondo. Il il mercato zero-day è così allagato dagli exploit iOS che abbiamo recentemente ha iniziato a rifiutare alcuni [di] loro.
D’altra parte, la sicurezza di Android sta migliorando con ogni nuovo rilascio del sistema operativo grazie ai team di sicurezza di Google e Samsung, quindi è diventato molto difficile e richiede molto tempo per svilupparsi in pieno catene di exploit per Android ed è ancora più difficile sviluppare zero exploit dei clic che non richiedono alcuna interazione da parte dell’utente.
In conformità con queste nuove sfide tecniche relative a Crediamo che la sicurezza Android e le nostre osservazioni sulle tendenze del mercato è giunto il momento di assegnare i premi più alti ad Android sfrutta fino a quando Apple non migliora nuovamente la sicurezza di iOS e rafforza le sue parti più deboli che sono iMessage e Safari (Webkit e sandbox).
I moderni sistemi operativi contengono una varietà di sicurezza protezioni che in genere richiedono agli attaccanti di combinarne due o più exploit in una catena di attacco, con ogni anello che affronta un diverso applicazione o difesa. Gli exploit a zero clic sono quelli che non lo fanno richiedere qualsiasi interazione da parte dell’utente finale. Anexploit che arriva in un messaggio di testo e consente all’attaccante di farlo prendere il controllo di un dispositivo è un esempio. Un exploit con un clic, di al contrario, richiede all’utente finale di eseguire azioni minime, come ad esempio visitando un sito Web intrappolato.
Sveglia
Ulteriori letture
Armati di iOS 0days, gli hacker hanno indiscriminatamente infettato iPhone per due anni La variazione di prezzo arriva quattro giorni dopo i ricercatori Project Zero di Google ha riferito che gli utenti di versioni completamente patchate di iOS erano vulnerabili ai zero-day di iOS che sono stati sfruttati in selvaggio per più di due anni. Attacchi contro 14 separati le vulnerabilità sono state raggruppate in cinque catene di exploit separate ciò ha dato agli aggressori la possibilità di scendere a compromessi aggiornati dispositivi.
Gli attacchi sono stati condotti da una piccola raccolta di hackerati siti Web che hanno utilizzato gli exploit per attaccare indiscriminatamente ogni dispositivo iOS visitato. Gli aggressori hanno usato gli exploit per l’installazione malware che ruba foto, e-mail, credenziali di accesso, live dati sulla posizione e altro da iPhone e iPad. Project Zeroi ricercatori non hanno identificato nessuno dei siti web che hanno ospitato il exploit. Lunedì, i ricercatori della società di sicurezza Volexity identificato 11 siti web che servono visitatori uiguri e del Turkistan orientale che probabilmente ha servito gli exploit iOS. Il post di Volexity diceva uno di i siti sembravano sfruttare anche una vulnerabilità di Android ha smesso di funzionare nel 2017 con il rilascio di Chrome 60.
Il Progetto Zero segnala che i siti Web sono aperti e iOS zero-day sfruttato indiscriminatamente per più di due anni ha sfidato molte delle ipotesi convenzionali in termini di sicurezza i ricercatori hanno sviluppato la sicurezza sul sistema operativo mobile Apple. In precedenza, molti presumevano che le catene di attacco zero-click o one-click funzionassero contro l’ultima versione di iOS erano così costosi e rari da farlo sono stati usati con parsimonia. Il modo in cui gli exploit sono stati usati a casaccio i siti scoperti da Project Zero suggerivano iOS inediti gli attacchi erano abbondanti, nonostante la notevole competenza necessaria per svilupparli.
“L’ultima serie di zero-day che interessa la piattaforma Apple annunciato da Project Zero di Google è stato un po ‘un campanello d’allarme sconvolgendo le nostre opinioni sull’ecosistema iOS e sulla sua sicurezza “, Jérôme Segura, direttore dell’intelligence sulle minacce presso il fornitore di antivirus Malwarebytes, ha detto ad Ars. “Mentre è vero che Apple controlla il stiamo vedendo l’hardware e che gli aggiornamenti del sistema operativo vengono adottati rapidamente prove che determinati aggressori sono in grado di eludere la sicurezza di iOS meccanismi più che in passato. ”
L’aggiornamento di Zerodium afferma che il prezzo di $ 2,5 milioni applicato ad Android versioni 8 e 9. L’aggiornamento non ha fatto riferimento ad Android 10, che è stato rilasciato martedì, ma Bekrar ha detto ad Ars che quella versione è anche coperto. Mentre Zerodium paga $ 2,5 milioni e $ 2 milioni per catene di exploit zero-click per Android e iOS, rispettivamente, il prezzo più alto per exploit comparabili destinati al desktop Il sistema operativo supera $ 1 milione.
“Gli utenti di dispositivi mobili non devono preoccuparsi della sicurezza complessiva di i dispositivi mobili sono oggi molto meglio di qualsiasi laptop o computer “, ha detto Bekrar.
