jabłko
Apple iPhone, który działa na zastrzeżonej, zamkniętej i mocno zablokowanej wersji mobilnego systemu operacyjnego iOS, jest teraz najwyraźniej bardziej podatny na zdalnie wykonywalne luki w zabezpieczeniach i prywatności niż Android. Po raz pierwszy, techniki hakerskie, które mogą zdalnie uszkodzić zabezpieczenia iPhone'a bez interakcji z użytkownikiem kosztują mniej niż te wymagane do włamania do smartfona z Androidem.
Silne przekonanie, że zabezpieczenia iPhone'a lub iOS firmy Apple są nieprzeniknione, może zostać zachwiane, przynajmniej na krótką metę. Podziemne rynki, które handlują tajnymi, ale z powodzeniem wykorzystywanymi wadami i lukami w iOS, systemie operacyjnym działającym wyłącznie na iPhone'ach Apple, wydają się wskazywać na zmianę postrzegania. Po raz pierwszy każde tajne narzędzie do hakowania, które może zdalnie przejąć kontrolę nad smartfonem z Androidem bez interakcji z użytkownikiem, ma wyższą cenę niż jego odpowiednik na iPhone'a.
Zerodium najpierw zmniejsza, a następnie zawiesza kupowanie luk w zabezpieczeniach iOS z powodu dużej liczby luk?
Firma Zerodium, która kupuje i sprzedaje tzw. Exploity zero-day, które wykorzystują luki w zabezpieczeniach tajnego oprogramowania, ogłosiła, że tymczasowo zawiesiła kupowanie nowej eskalacji lokalnych uprawnień iOS, zdalnego wykonywania kodu Safari lub exploitów piaskownicy na najbliższe kilka miesięcy. Ponadto firma opublikowała zaktualizowany cennik luk w zabezpieczeniach systemów operacyjnych iOS i Android dla smartfonów.
NIE będziemy pozyskiwać żadnych nowych ucieczek Apple iOS LPE, Safari RCE ani sandbox na następne 2 do 3 miesięcy z powodu dużej liczby zgłoszeń związanych z tymi wektorami.
Ceny łańcuchów jednym kliknięciem na iOS (np. Przez Safari) bez trwałości prawdopodobnie spadną w najbliższej przyszłości.
- Zerodium (@Zerodium) 13 maja 2020 r
Zawieszenie następuje po tym, jak firma zaczęła otrzymywać dużą liczbę zgłoszeń dotyczących exploitów w Apple iOS. Firma twierdziła, że nadal będzie akceptować łańcuchy jednego kliknięcia iOS (np. Przez Safari) bez wytrwałości. Jednak ceny tego samego zostały znacznie obniżone i, co ciekawe, ceny luk w zabezpieczeniach iOS są teraz niższe niż w systemie operacyjnym Android.
Zabezpieczenia iOS są popieprzone. Tylko PAC i nietrwałość powstrzymują go od zera… ale widzimy wiele exploitów omijających PAC, a kilka exploitów trwałości (0 dni) działa na wszystkich iPhone'ach / iPadach. Miejmy nadzieję, że iOS 14 będzie lepszy. https://t.co/39Kd3OQwy1
- Chaouki Bekrar (@cBekrar) 13 maja 2020 r
Dyrektor generalny Zerodium, Chaouki Bekrar, miał dość duży wybór słów opisujących obecny stan zabezpieczeń iOS. Twierdził, że tylko kod uwierzytelniania wskaźnika i nietrwałe exploity utrzymują zabezpieczenia iOS na powierzchni. Ponadto stwierdził, że w tych kategoriach wciąż jest wystarczająco dużo exploitów. Nie trzeba dodawać, że takie twierdzenia powinny dotyczyć Apple, które szczyci się wysoce nieprzeniknionymi warstwami bezpieczeństwa w iOS.
Przechodząc do cennika luk w zabezpieczeniach, Zerodium oferuje teraz do 2,5 miliona dolarów za technikę hakowania bez kliknięć, która całkowicie i cicho przejmuje telefon z Androidem bez interakcji z użytkownikiem docelowym. W prostych słowach każdy exploit, który nie wymaga żadnej interakcji użytkownika w systemie operacyjnym Android ma wysoką cenę. Nawiasem mówiąc, nadal jest to rzadkie zjawisko. Mimo wszystko podobna luka w zabezpieczeniach Apple iOS ma cenę o 500 000 USD mniej niż Android.
[Źródło zdjęcia: Zerodium via Wired]
Mówiąc o zmieniającym się scenariuszu, założyciel Zerodium, Chaouki Bekrar, napisał: „W ciągu ostatnich kilku miesięcy zaobserwowaliśmy wzrost liczby exploitów iOS, głównie łańcuchów Safari i iMessage, opracowywanych i sprzedawanych przez naukowców z całego świata. Rynek dnia zerowego jest tak zalewany przez exploity na iOS, że niedawno zaczęliśmy odrzucać niektóre z nich. Bezpieczeństwo Androida poprawia się z każdą nową wersją systemu operacyjnego dzięki zespołom bezpieczeństwa Google i Samsung, więc tworzenie pełnych łańcuchów exploitów dla Androida stało się bardzo trudne i czasochłonne, a jeszcze trudniej jest tworzyć exploity zero-click niewymagające dowolna interakcja użytkownika ”.Czy Apple iOS dla iPhone'ów jest mniej bezpieczny niż Android?
Dość dziwne jest to, że cena ofertowa za exploity bezpieczeństwa w systemie Apple iOS jest niższa niż w przypadku systemów operacyjnych Android. Co więcej, faktem jest również, że Android, wspierany przez Google i w dużej mierze oparty na usługach firmy, ma poprawiła się znacznie w ostatnich kilku iteracjach . Android jest teraz znacznie bezpieczniejszy niż wcześniej. Ponadto Google stale poprawia bezpieczeństwo dzięki algorytmom trenowanym przez sztuczną inteligencję i dane.
Dwie luki dnia zero w iOS Mail zagrażają miliardom iPhone'ów i iPadów #Słaby punkt #Wada #Atak #Jabłko #iOS #Poczta https://t.co/4N26K5yDcv
- CybSploit (@cybsploit) 12 maja 2020 r
Apple iOS jest nadal uważany za bardzo bezpieczny. Firma prowadzi rygorystyczny proces weryfikacji swojego kuratora Apple App Store. Dlatego eksperci twierdzą, że twierdzenia Zerodium mogą być przesadzone. Wskazują, że hakerzy, twórcy złośliwego kodu i inne osoby mogą ponownie skupiać się na systemie iOS firmy Apple. Co więcej, w obecnej sytuacji hakerzy mogą mieć więcej czasu na bardziej intensywne próby penetracji zabezpieczeń iOS.
Tagi jabłko