Æble
Apple iPhone, der kører på en proprietær, lukket kilde og stærkt låst version af iOS-mobiloperativsystemet, er nu tilsyneladende mere sårbar over for ekstern eksekverbar sikkerhed og privatlivsudnyttelse end Android. For første gang, hackingteknikker, der fjernbetjening kan lamme iPhones forsvar uden brugerinteraktion koster mindre end dem, der kræves for at bryde ind på en Android-smartphone.
Den stærke overbevisning om, at Apples iPhone- eller iOS-sikkerhed er uigennemtrængelig, kunne ryste, i det mindste på kort sigt. Underjordiske markedspladser, der handler i hemmelighed, men med succes udnyttelige fejl og sårbarheder i iOS, det operativsystem, der udelukkende kører på Apple iPhones, ser ud til at have indikeret den skiftende opfattelse. For første gang kommandoer ethvert hemmeligt hackingsværktøj, der er i stand til eksternt at tage kontrol over en Android-smartphone uden brugerinteraktion, en højere pris end dets iPhone-ækvivalent.
Zerodium reducerer først derefter suspenderer køb af iOS-sikkerhedsudnyttelser på grund af overflod af fejl?
Zerodium, der køber og sælger såkaldte zero-day exploits, der drager fordel af hemmelige softwaresårbarheder, meddelte, at det midlertidigt har suspenderet køb af ny iOS Local Privilege Escalation, Safari Remote Code Execution eller sandbox exploits i de næste par måneder. Derudover offentliggjorde virksomheden en opdateret prisliste for sikkerhedssårbarheder for iOS og Android-smartphone OS.
Vi anskaffer IKKE nye Apple iOS LPE-, Safari RCE- eller sandkasse-undslip i de næste 2 til 3 måneder på grund af et stort antal indsendelser relateret til disse vektorer.
Priserne for iOS-enkeltklikskæder (f.eks. Via Safari) uden vedholdenhed vil sandsynligvis falde i den nærmeste fremtid.
- Zerodium (@Zerodium) 13. maj 2020
Suspensionen kommer efter, at virksomheden angiveligt begyndte at modtage et stort antal indsendelser til bedrifter inden for Apple iOS. Virksomheden hævdede, at det stadig vil acceptere iOS-enkeltkædekæder (f.eks. Via Safari) uden vedholdenhed. Priserne for det samme er dog reduceret betydeligt, og interessant nok ligger priserne på iOS-sikkerhedsfejl nu under dem inden for Android OS.
iOS-sikkerhed er kneppet. Kun PAC og ikke-persistens holder det fra at gå til nul ... men vi ser mange udnyttelser, der omgår PAC, og der er et par udholdenhedsudnyttelser (0 dage), der arbejder med alle iPhones / iPads. Lad os håbe, at iOS 14 bliver bedre. https://t.co/39Kd3OQwy1
- Chaouki Bekrar (@cBekrar) 13. maj 2020
Zerodiums administrerende direktør Chaouki Bekrar havde et ret stærkt ordvalg til at beskrive den aktuelle tilstand af iOS-sikkerhed. Han hævdede, at kun Pointer Authentication Code og non-persistent exploit holder iOS-sikkerheden flydende. Han hævdede desuden, at der stadig er nok udnyttelser i disse kategorier. Det er overflødigt at tilføje, at sådanne påstande skal vedrøre Apple, der er stolt af de meget uigennemtrængelige sikkerhedslag i iOS.
Kommer til prislisten over sikkerhedssårbarheder, tilbyder Zerodium nu op til $ 2,5 millioner til en nul-klik-hackingsteknik, der fuldt ud og lydløst overtager en Android-telefon uden interaktion fra målbrugeren. Med enkle ord, enhver udnyttelse, der ikke kræver brugerinteraktion inden for et Android OS kommandoer den høje pris. I øvrigt er dette stadig en sjælden begivenhed. Stadig, nogen lignende sårbarhed i en Apple iOS har en pris, der er $ 500.000 mindre end Android.
[Billedkredit: Zerodium via Wired]
Når vi talte om det skiftende scenario, skrev Zerodiums grundlægger Chaouki Bekrar: ”I løbet af de sidste par måneder har vi observeret en stigning i antallet af iOS-udnyttelser, hovedsagelig Safari- og iMessage-kæder, der er udviklet og solgt af forskere fra hele verden. Nuldagsmarkedet er så oversvømmet af iOS-udnyttelser, at vi for nylig er begyndt at nægte nogle af dem. Android-sikkerhed forbedres med hver nye udgivelse af operativsystemet takket være Google og Samsungs sikkerhedsteam, så det blev meget svært og tidskrævende at udvikle fulde kæder af exploits til Android, og det er endnu sværere at udvikle zero-click-exploits, der ikke kræver enhver brugerinteraktion. ”Er Apple iOS til iPhones mindre sikker end Android?
Det er ret underligt at se tilbudsprisen for sikkerhedsudnyttelser inden for Apple iOS, der betaler en lavere pris end dem inden for Android OS. Desuden er det også en kendsgerning, at Android, støttet af Google og stort set drevet af virksomhedens tjenester, har forbedret markant i de sidste par iterationer . Android er nu langt mere sikker end før. Derudover forbedrer Google konstant sikkerheden med algoritmer, der trænes af AI og data.
To nul-dagsfejl i iOS Mail truer milliarder af iPhone og iPad # Sårbarhed #Fejl #Angreb #Æble #iOS #Post https://t.co/4N26K5yDcv
- CybSploit (@cybsploit) 12. maj 2020
Apples iOS betragtes stadig som meget sikker. Virksomheden har en streng kontrolproces for sin kuraterede Apple App Store. Derfor insisterer eksperter på, at påstandene fra Zerodium's kunne overdrives. De indikerer, at hackere, ondsindede kodeforfattere og andre måske fokuserer igen på Apples iOS. Desuden kan hackere med den nuværende situation have mere tid til at prøve hårdere at trænge ind i iOS-sikkerhed.
Mærker æble
