Денежная ценность Android-эксплойтов Zero-Day превосходит iOS
Apple давно позиционирует себя как более безопасный вариант для открытия платформ, таких как Windows и Android, но это может быть уже не так. По мере того, как ранее не сообщавшиеся эксплойты iOS «нулевого дня» накапливались, исследователи в области безопасности видят, что стоимость такого исследования падает. Zerodium, крупнейший покупатель таких недостатков, обновил свои выплаты за баги. Максимальный размер эксплойтов для Android составляет 2,5 миллиона долларов, а для iOS - 2 миллиона.
В прошлом месяце мы сообщили о серии эксплойтов iOS, обнаруженных Google Project Project Zero. Google не занимается продажей эксплойтов, поэтому исследовал схему и сообщил об этом Apple ответственным образом. Google обнаружил сайты, использующие несколько цепочек атак для кражи данных практически со всех версий iOS, и они работали не менее двух лет.
Apple выпустила обновление для iDevices, которое блокировало эти эксплойты, но вы должны задаться вопросом, сколько еще незарегистрированных атак происходит вокруг. Виновные в этом взломе даже не рассматривали подвиги как ценный товар. Они без разбора взламывали пользователей iPhone, когда могли использовать целевые атаки на ценные объекты. Возможно, их никогда не поймали на этом пути.
Zerodium покупает эксплойты за большие деньги, чтобы он мог исключительно сообщать об исследованиях и мерах по снижению рисков своим корпоративным и государственным клиентам. Основатель и генеральный директор Zerodium Чауки Бекрар (Chaouki Bekrar) говорит, что компания по-прежнему получает достаточное количество материалов для эксплойтов iOS, в основном связанных с Safari и iMessage. Их так много, что компания начала отклонять некоторые предложения исследователей. С другой стороны, функциональные эксплойты для Android с нулевым или одним щелчком становятся все более редкими, особенно для версий 8.0 и новее.
Учитывая состояние основных операционных систем, Zerodium решил, что имеет смысл присвоить Android-приложениям более высокую ценность. Zerodium не платит 2,5 миллиона долларов за взлом Android. Исследователи должны сначала представить основные детали взлома, а затем ждать предложения от Zerodium. Максимальное предложение в 2,5 миллиона долларов применимо только к серьезным недостаткам в Android 8, 9 или 10. Минимальная максимальная награда Apple в 2 миллиона долларов все еще не чихает - серьезные эксплойты для настольных систем превышают 1 миллион долларов. Поскольку мобильные платформы были созданы совсем недавно, они имеют больше функций безопасности, интегрированных на низком уровне. Это делает их труднее взломать, чем настольные операционные системы.
Читать далее
Премия Lunar X продолжится без денежной премии
Оригинальный приз Google Lunar X попросил участников взять на себя, казалось бы, достижимую цель - получить маленького ровера на лунную поверхность. Никто не смог сделать это вовремя, чтобы получить приз.