Увеличить изображения | Аурих Лоусон
Впервые в истории брокер, использующий систему безопасности Zerodium, платить больше за атаки нулевого дня, которые нацелены на Android, чем Это платит за сопоставимые атаки на iOS.
Обновленный прайс-лист, опубликованный во вторник, показывает, что Zerodium теперь будет заплатить 2,5 миллиона долларов за «полную цепь (Zero-Click) с упорство »Android ноль дней по сравнению с $ 2 млн для iOS нулевые дни, которые соответствуют тем же критериям. Предыдущая программа обзор предложил 2 миллиона долларов за неопубликованные эксплойты iOS, но сделал нет никаких ссылок на подвиги для Android. Основатель Zerodium и генеральный директор Chaouki Bekrar сказали Ars, что брокер заплатил по «индивидуальному случаю» основа в зависимости от цепочки »для подвигов Android.
�Затоплены эксплойтами iOS»
Бекрар сказал Арсу, что этот шаг вызван избытком работающей iOS эксплуатировать цепи, которые совпали с растущей сложностью найти сопоставимые эксплойты для версий 8 и 9 Android. В сообщение, Бекрар написал:
В течение последних нескольких месяцев мы наблюдали увеличение число уязвимостей iOS, в основном цепочек Safari и iMessage, разработано и продано исследователями со всего мира. Рынок нулевого дня настолько наводнен эксплойтами iOS, что мы недавно начал отказываться от некоторых из них.
С другой стороны, безопасность Android улучшается с каждым новым выпуск ОС благодаря командам безопасности Google и Samsung, поэтому стало очень тяжело и отнимало много времени на разработку полноценного цепочки эксплойтов для Android и еще сложнее развить ноль щелкните эксплойты, не требующие какого-либо взаимодействия с пользователем.
В соответствии с этими новыми техническими проблемами, связанными с Мы считаем, что безопасность Android и наши наблюдения за тенденциями рынка пришло время выделить самые высокие награды для Android эксплуатирует, пока Apple не улучшит безопасность iOS и усиливает свои слабые стороны, такие как iMessage и Safari (Webkit и песочница).
Современные операционные системы содержат различные меры безопасности средства защиты, которые обычно требуют от злоумышленников объединения двух или более эксплойты в цепочке атак, где каждая ссылка занимается приложение или защита. Эксплойты с нулевым кликом – это те, которые не требует какого-либо взаимодействия со стороны конечного пользователя. Anэксплойт, который приходит в текстовом сообщении и позволяет злоумышленнику взять на себя управление устройством является примером. Эксплойт в один клик, напротив, требует, чтобы конечный пользователь предпринял минимальные действия, такие как посещение захваченного миной сайта.
Звонок для пробуждения
Дальнейшее чтение
Вооружившись iOS 0days, хакеры без разбора заразили айфоны для изменение цены происходит через четыре дня после того, как исследователи из Project Zero от Google сообщил, что пользователи полностью исправленных версий iOS были уязвимы для нулевых дней iOS, которые использовались в дикий больше двух лет. Атаки против 14 отдельных Уязвимости были упакованы в пять отдельных цепочек эксплойтов. что дало злоумышленникам возможность идти на компромисс устройства.
Атаки велись из небольшой взломанной коллекции веб-сайты, которые использовали подвиги для неизбирательной атаки на каждого Устройство iOS, которое посетило. Злоумышленники использовали эксплойты для установки вредоносные программы, которые украли фотографии, электронные письма, учетные данные для входа в систему, в прямом эфире данные о местоположении и многое другое с iPhone и iPad. Project ZeroИсследователи не идентифицировали ни один из веб-сайтов, на которых размещались эксплойты. В понедельник исследователи из охранной фирмы Volexity выявлено 11 сайтов, обслуживающих посетителей Уйгура и Восточного Туркестана это, вероятно, послужило уязвимости iOS. Сообщение Volexity сказал один из сайты также, похоже, используют уязвимость Android, которая перестал работать в 2017 году с выпуском Chrome 60.
Project Zero сообщает, что веб-сайты открыто и без разбора эксплуатировал iOS нулевых дней в течение более двух лет бросил вызов многим из обычных допущений некоторой безопасности Исследователи высказались по поводу безопасности на мобильной ОС Apple. Ранее, многие предполагали, что сработали цепочки атак нулевым или одним щелчком против последней версии iOS были настолько дорогостоящими и редкими, что они использовались экономно. Случайный способ использования подвигов на сайты, обнаруженные Project Zero, предлагают неопубликованную iOS нападений было много, несмотря на значительный опыт, необходимый развивать их.
�Последний набор нулевых дней, влияющих на платформу Apple анонсированный Google Project Zero был чем-то вроде пробуждения разрушая наши взгляды на экосистему iOS и ее безопасность, ”Жером Сегура, директор по анализу угроз в антивирусной компании Malwarebytes, сказал Арс. �Хотя верно, что Apple контролирует аппаратные средства и что обновления ОС принимаются быстро, мы видим доказательства того, что решительные злоумышленники могут обойти безопасность iOS механизмов больше, чем в прошлом ».
В обновлении Zerodium говорится, что цена на Android составляет 2,5 миллиона долларов версии 8 и 9. В обновлении не упоминается Android 10, который был выпущен во вторник, но Бекрар сказал Арсу, что эта версия покрыты также. Пока Zerodium платит 2,5 миллиона долларов и 2 доллара миллион за цепочки эксплойтов с нулевым кликом для Android и iOS, соответственно, максимальная цена за сопоставимые эксплойты, нацеленные на десктоп Операционные системы достигают 1 миллиона долларов.
�Мобильные пользователи не должны беспокоиться, так как общая безопасность мобильные устройства в настоящее время намного лучше, чем любой ноутбук или компьютер », – сказал Бекрар.
