Грошова цінність експлуатації Android Zero-Day перевищує iOS

Грошова цінність експлуатації Android Zero-Day перевищує iOS

Apple давно позиціонує себе як більш безпечний варіант для відкриття платформ, таких як Windows та Android, але це вже не може бути так. Оскільки раніше нерепортажні «нульові дні» iOS експлуатували нагромадження, дослідники з питань безпеки бачать, що грошова вартість таких досліджень падає. Zerodium, найбільший покупець таких недоліків, оновив свої виплати за помилки. Зараз для Android експлуатується максимум 2,5 мільйони доларів, а iOS - 2 мільйони доларів.

Минулого місяця ми повідомляли про серію експлуатацій iOS, виявлених Google Project Project Zero. Google не займається продажем подвигів, тому він дослідив схему та відповідально повідомив про це Apple. Google виявив веб-сайти, використовуючи кілька ланцюгів атак, щоб викрасти дані майже з усіх версій iOS, і вони працювали принаймні два роки.

Apple розгорнула оновлення до iDevices, що блокувало ці подвиги, але вам потрібно задуматися, скільки ще невластивих атак плаває там. Зловмисники навіть не поводилися з подвигами як з цінним товаром. Вони безладно хакували користувачів iPhone, коли вони могли застосовувати цілеспрямовані напади на цінні об'єкти. Вони, можливо, ніколи не будуть спіймані тим шляхом.

Apple обговорює безпеку iPhone, але Zerodium каже, що відстає.
Apple обговорює безпеку iPhone, але Zerodium каже, що відстає.

Zerodium купує подвиги за великі гроші, щоб він міг виключно звітувати про дослідження та заходи пом'якшення наслідків своїм корпоративним та державним клієнтам. Засновник Zerodium та генеральний директор Chaouki Bekrar каже, що компанія все ще отримує достатньо подань на подробиці iOS, в основному підключені до Safari та iMessage. Їх так багато, що компанія почала відхиляти деякі пропозиції від дослідників. З іншого боку, функціональні подвиги з нульовим клацанням чи одним клацанням для Android стають все рідкішими, особливо для версій 8.0 та новіших версій.

Враховуючи стан основних операційних систем, Zerodium вирішив, що має сенс призначати більш високе значення Android-подвижникам. Однак Zerodium не платить 2,5 мільйона доларів за будь-який хакер Android. Дослідники повинні спочатку надіслати основні деталі хаку, а потім чекати на пропозицію від Zerodium. Топ-пропозиція в розмірі 2,5 мільйонів доларів стосується лише серйозних недоліків в Android 8, 9 або 10. Нижча максимальна сума баналів Apple, яка чинить на 2 мільйони доларів, все ще не має на що чхати - серйозні подвиги для настільних систем становлять 1 мільйон доларів. Оскільки мобільні платформи були побудовані недавно, вони мають більше функцій захисту, інтегрованих на низькому рівні. Це робить їх важче зламати, ніж настільні операційні системи.

Читати далі

Firefox Zero-Day використовується для встановлення Mac Malware
Firefox Zero-Day використовується для встановлення Mac Malware

На цьому тижні Mozilla випустила надзвичайний патч Firefox, пославшись на небезпечний експлуатат нульового дня. Через те, що вважали, що хакери експлуатували недолік у дикій природі, Mozilla відмовилася надати інформацію про характер проблеми. Є деякі додаткові деталі зараз, і вони припускають, що фокус атаки на співробітників обміну криптовалютами.