Zero Day Exploits til Apple iPhone iOS Surge, sænker deres værdiansættelse og koster mindre end ikke-interaktion Android hacking teknikker
Apple iPhone, der kører på en proprietær, lukket kilde og stærkt låst version af iOS-mobiloperativsystemet, er nu tilsyneladende mere sårbar over for ekstern eksekverbar sikkerhed og privatlivsudnyttelse end Android. For første gang, hackingteknikker, der kan fjernelse af lamme iPhones forsvar uden brugerinteraktion koster mindre end dem, der kræves for at bryde ind på en Android-smartphone.
Den stærke overbevisning om, at Apples iPhone- eller iOS-sikkerhed er uigennemtrængelig, kunne ryste, i det mindste på kort sigt. Underjordiske markedspladser, der handler med hemmelige, men med succes udnyttelige fejl og sårbarheder i iOS, det operativsystem, der udelukkende kører på Apple iPhones, ser ud til at have indikeret den skiftende opfattelse. For første gang kommandoer ethvert hemmeligt hackingsværktøj, der er i stand til eksternt at tage kontrol over en Android-smartphone uden brugerinteraktion, en højere pris end dets iPhone-ækvivalent.
Zerodium reducerer først og derefter suspenderer køb af iOS-sikkerhedsudnyttelser på grund af overflod af fejl?
Zerodium, der køber og sælger såkaldte zero-day exploits, der udnytter hemmelige softwaresårbarheder, meddelte, at det midlertidigt har suspenderet køb af ny iOS Local Privilege Escalation, Safari Remote Code Execution eller sandbox exploits i de næste par måneder. Derudover offentliggjorde virksomheden en opdateret prisliste for sikkerhedssårbarhederne til iOS og Android-smartphone OS.
Suspensionen kommer efter, at virksomheden angiveligt begyndte at modtage et stort antal indsendelser til bedrifter inden for Apple iOS. Virksomheden hævdede, at det stadig vil acceptere iOS-et-klik-kæder (f.eks. Via Safari) uden vedholdenhed. Priserne for det samme er dog reduceret betydeligt, og interessant nok ligger priserne på iOS-sikkerhedsfejl nu under dem inden for Android OS.
Zerodiums CEO Chaouki Bekrar havde et ret stærkt ordvalg for at beskrive den aktuelle tilstand af iOS-sikkerhed. Han hævdede, at kun Pointer Authentication Code og non-persistent exploits holder iOS-sikkerheden flydende. Han hævdede desuden, at der stadig er nok udnyttelser i disse kategorier. Det er overflødigt at tilføje, at sådanne påstande skal vedrøre Apple, der er stolt af de meget uigennemtrængelige sikkerhedslag i iOS.
Når vi kommer til prislisten over sikkerhedssårbarheder, tilbyder Zerodium nu op til $ 2,5 millioner til en nul-klik-hackingsteknik, der fuldt ud og lydløst overtager en Android-telefon uden interaktion fra målbrugeren. Med enkle ord, enhver udnyttelse, der ikke kræver brugerinteraktion inden for et Android OS kommandoer den høje pris. I øvrigt er dette stadig en sjælden begivenhed. Stadig, nogen lignende sårbarhed i en Apple iOS har en pris, der er $ 500.000 mindre end Android.
Taler om det skiftende scenario, Zerodiums grundlægger Chaouki Bekrar skrev: ”I løbet af de sidste par måneder har vi observeret en stigning i antallet af iOS-udnyttelser, hovedsagelig Safari- og iMessage-kæder, der er udviklet og solgt af forskere fra hele verden. Nul-dags markedet er så oversvømmet af iOS-udnyttelser, at vi for nylig er begyndt at nægte nogle af dem. Android-sikkerhed forbedres med hver nye udgivelse af operativsystemet takket være Google og Samsungs sikkerhedsteam, så det blev meget svært og tidskrævende at udvikle fulde kæder af udnyttelser til Android, og det er endnu sværere at udvikle nul-klik-udnyttelser, der ikke kræver enhver brugerinteraktion. ”Er Apple iOS til iPhones mindre sikker end Android?
Det er ret underligt at se tilbudsprisen for sikkerhedsudnyttelser inden for Apple iOS, der betaler en lavere pris end dem inden for Android OS. Desuden er det også en kendsgerning, at Android, bakket op af Google og stort set er drevet af virksomhedens tjenester, har forbedret markant i de sidste par iterationer. Android er nu langt mere sikker end før. Derudover forbedrer Google konstant sikkerheden med algoritmer, der trænes af AI og data.
Apples iOS betragtes stadig som meget sikker. Virksomheden har en streng kontrolproces for sin kuraterede Apple App Store. Derfor insisterer eksperter på, at påstandene fra Zerodium's kan overdrives. De indikerer, at hackere, ondsindede kodeforfattere og andre måske fokuserer igen på Apples iOS. Desuden kan hackere med den nuværende situation have mere tid til at prøve hårdere at trænge ind i iOS-sikkerhed.