Грошова цінність експлуатації Android Zero-Day перевищує iOS

Грошова цінність експлуатації Android Zero-Day перевищує iOS

Apple давно позиціонує себе як більш безпечний варіант для відкриття платформ, таких як Windows та Android, але це вже не може бути так. Оскільки раніше нерепортажні «нульові дні» iOS експлуатували нагромадження, дослідники з питань безпеки бачать, що грошова вартість таких досліджень падає. Zerodium, найбільший покупець таких недоліків, оновив свої виплати за помилки. Зараз для Android експлуатується максимум 2,5 мільйони доларів, а iOS - 2 мільйони доларів.

Минулого місяця ми повідомляли про серію експлуатацій iOS, виявлених Google Project Project Zero. Google не займається продажем подвигів, тому він дослідив схему та відповідально повідомив про це Apple. Google виявив веб-сайти, використовуючи кілька ланцюгів атак, щоб викрасти дані майже з усіх версій iOS, і вони працювали принаймні два роки.

Apple розгорнула оновлення до iDevices, що блокувало ці подвиги, але вам потрібно задуматися, скільки ще невластивих атак плаває там. Зловмисники навіть не поводилися з подвигами як з цінним товаром. Вони безладно хакували користувачів iPhone, коли вони могли застосовувати цілеспрямовані напади на цінні об'єкти. Вони, можливо, ніколи не будуть спіймані тим шляхом.

Apple обговорює безпеку iPhone, але Zerodium каже, що відстає.
Apple обговорює безпеку iPhone, але Zerodium каже, що відстає.

Zerodium купує подвиги за великі гроші, щоб він міг виключно звітувати про дослідження та заходи пом'якшення наслідків своїм корпоративним та державним клієнтам. Засновник Zerodium та генеральний директор Chaouki Bekrar каже, що компанія все ще отримує достатньо подань на подробиці iOS, в основному підключені до Safari та iMessage. Їх так багато, що компанія почала відхиляти деякі пропозиції від дослідників. З іншого боку, функціональні подвиги з нульовим клацанням чи одним клацанням для Android стають все рідкішими, особливо для версій 8.0 та новіших версій.

Враховуючи стан основних операційних систем, Zerodium вирішив, що має сенс призначати більш високе значення Android-подвижникам. Однак Zerodium не платить 2,5 мільйона доларів за будь-який хакер Android. Дослідники повинні спочатку надіслати основні деталі хаку, а потім чекати на пропозицію від Zerodium. Топ-пропозиція в розмірі 2,5 мільйонів доларів стосується лише серйозних недоліків в Android 8, 9 або 10. Нижча максимальна сума баналів Apple, яка чинить на 2 мільйони доларів, все ще не має на що чхати - серйозні подвиги для настільних систем становлять 1 мільйон доларів. Оскільки мобільні платформи були побудовані недавно, вони мають більше функцій захисту, інтегрованих на низькому рівні. Це робить їх важче зламати, ніж настільні операційні системи.

Читати далі

Навіть резервний постачальник сховища Backblaze не може зробити грошову сільське господарство Chia
Навіть резервний постачальник сховища Backblaze не може зробити грошову сільське господарство Chia

Backblaze досліджував, чи зможе вона заробляти гроші, видобуток чиї з його запасним ємність. Компанія не вважає, що власні шанси дуже хороші.

Місячна X премія триватиме без грошової премії
Місячна X премія триватиме без грошової премії

Оригінальна премія Google Lunar X попросила учасників взяти на себе, здавалося б, досяжну ціль - отримати маленький ровер на місячну поверхню. Ніхто не міг зробити це вчасно, щоб претендувати на приз.