Грошова цінність експлуатації Android Zero-Day перевищує iOS

Грошова цінність експлуатації Android Zero-Day перевищує iOS

Apple давно позиціонує себе як більш безпечний варіант для відкриття платформ, таких як Windows та Android, але це вже не може бути так. Оскільки раніше нерепортажні «нульові дні» iOS експлуатували нагромадження, дослідники з питань безпеки бачать, що грошова вартість таких досліджень падає. Zerodium, найбільший покупець таких недоліків, оновив свої виплати за помилки. Зараз для Android експлуатується максимум 2,5 мільйони доларів, а iOS - 2 мільйони доларів.

Минулого місяця ми повідомляли про серію експлуатацій iOS, виявлених Google Project Project Zero. Google не займається продажем подвигів, тому він дослідив схему та відповідально повідомив про це Apple. Google виявив веб-сайти, використовуючи кілька ланцюгів атак, щоб викрасти дані майже з усіх версій iOS, і вони працювали принаймні два роки.

Apple розгорнула оновлення до iDevices, що блокувало ці подвиги, але вам потрібно задуматися, скільки ще невластивих атак плаває там. Зловмисники навіть не поводилися з подвигами як з цінним товаром. Вони безладно хакували користувачів iPhone, коли вони могли застосовувати цілеспрямовані напади на цінні об'єкти. Вони, можливо, ніколи не будуть спіймані тим шляхом.

Apple обговорює безпеку iPhone, але Zerodium каже, що відстає.
Apple обговорює безпеку iPhone, але Zerodium каже, що відстає.

Zerodium купує подвиги за великі гроші, щоб він міг виключно звітувати про дослідження та заходи пом'якшення наслідків своїм корпоративним та державним клієнтам. Засновник Zerodium та генеральний директор Chaouki Bekrar каже, що компанія все ще отримує достатньо подань на подробиці iOS, в основному підключені до Safari та iMessage. Їх так багато, що компанія почала відхиляти деякі пропозиції від дослідників. З іншого боку, функціональні подвиги з нульовим клацанням чи одним клацанням для Android стають все рідкішими, особливо для версій 8.0 та новіших версій.

Враховуючи стан основних операційних систем, Zerodium вирішив, що має сенс призначати більш високе значення Android-подвижникам. Однак Zerodium не платить 2,5 мільйона доларів за будь-який хакер Android. Дослідники повинні спочатку надіслати основні деталі хаку, а потім чекати на пропозицію від Zerodium. Топ-пропозиція в розмірі 2,5 мільйонів доларів стосується лише серйозних недоліків в Android 8, 9 або 10. Нижча максимальна сума баналів Apple, яка чинить на 2 мільйони доларів, все ще не має на що чхати - серйозні подвиги для настільних систем становлять 1 мільйон доларів. Оскільки мобільні платформи були побудовані недавно, вони мають більше функцій захисту, інтегрованих на низькому рівні. Це робить їх важче зламати, ніж настільні операційні системи.

Читати далі

Напівавтономний робот з ядерного виведення з експлуатації з Microsoft Kinect
Напівавтономний робот з ядерного виведення з експлуатації з Microsoft Kinect

Існують різні "рівні" ядерних відходів, але жодна з них не є чимось, що треба робити особисто. Саме тому роботи з дистанційним керуванням стали стандартним інструментом для зняття з експлуатації ядерних установок і обробки радіоактивних матеріалів.