Eine Flut von iOS 0-Tagen drückt ihren Preis unter Kosten von denen für Ein droid

Illustration von 100-Dollar-Scheinen, die in ein Breitbandnetz gesaugt werden.EnlargeGetty Images | Aurich Lawson

Zum ersten Mal überhaupt ist der Sicherheits-Exploit-Broker Zerodium Bezahlen Sie einen höheren Preis für Zero-Day-Angriffe, die auf Android abzielen als Es zahlt sich für vergleichbare Angriffe auf iOS aus.

Eine am Dienstag veröffentlichte aktualisierte Preisliste zeigt Zerodium nun an Zahlen Sie $ 2,5 Millionen pro Stück für “Full Chain (Zero-Click)” mit Beharrlichkeit ”Android Zero-Days im Vergleich zu 2 Millionen US-Dollar für iOS Null-Tage, die die gleichen Kriterien erfüllen. Das vorherige Programm Übersicht angeboten 2 Millionen US-Dollar für unveröffentlichte iOS-Exploits aber gemacht Kein Hinweis auf die Exploits für Android. Zerodium Gründer und CEO Chaouki Bekrar sagte zu Ars, der Makler bezahle “von Fall zu Fall” Basis abhängig von der Kette “für Android-Exploits.

“Von iOS-Exploits überflutet”

Bekrar teilte Ars mit, der Umzug sei durch eine Flut von funktionierendem iOS ausgelöst worden Exploit – Ketten, die mit der wachsenden Schwierigkeit von zusammenfielen Suche nach vergleichbaren Exploits für die Versionen 8 und 9 von Android. In einem Nachricht, schrieb Bekrar:

In den letzten Monaten haben wir einen Anstieg der Anzahl der iOS-Exploits, hauptsächlich Safari- und iMessage-Ketten entwickelt und vertrieben von Forschern aus aller Welt. Das Zero-Day-Markt ist so von iOS-Exploits überflutet, dass wir es kürzlich getan haben begann, einige von ihnen abzulehnen.

Andererseits verbessert sich die Android-Sicherheit mit jedem neuen Veröffentlichung des Betriebssystems dank der Sicherheitsteams von Google und Samsung, so wurde es sehr schwer und zeitraubend, sich voll zu entwickeln Ketten von Exploits für Android und es ist noch schwieriger, Null zu entwickeln Klick-Exploits, für die keine Benutzerinteraktion erforderlich ist.

In Übereinstimmung mit diesen neuen technischen Herausforderungen im Zusammenhang mit Android-Sicherheit und unsere Beobachtung von Markttrends, glauben wir Diese Zeit ist gekommen, um Android die höchsten Kopfgelder zuzuteilen Exploits, bis Apple die Sicherheit von iOS und Windows verbessert stärkt seine schwächsten Teile, iMessage und Safari (Webkit und Sandkasten).

Moderne Betriebssysteme enthalten eine Vielzahl von Sicherheitsvorkehrungen Schutzmaßnahmen, bei denen Angreifer normalerweise zwei oder mehr kombinieren müssen Exploits in einer Angriffskette, wobei jedes Glied ein anderes angreift Anwendung oder Verteidigung. Zero-Click-Exploits sind solche, die dies nicht tun erfordern überhaupt keine Interaktion seitens des Endbenutzers. AnExploit, der in einer SMS ankommt und dem Angreifer erlaubt Die Kontrolle über ein Gerät zu übernehmen ist ein Beispiel. Ein One-Click-Exploit von Im Gegensatz dazu muss der Endbenutzer nur minimale Maßnahmen ergreifen, z Besuch einer von Dummköpfen gefangenen Website.

Weckruf

Weitere Lektüre

Bewaffnet mit iOS 0days infizieren Hacker wahllos iPhones für Zwei JahreDie Preisänderung kommt vier Tage nach Forschern aus Laut Projekt Null von Google haben Nutzer voll gepatchte Versionen von iOS waren anfällig für iOS-Zero-Days, die im Internet ausgenutzt wurden seit mehr als zwei jahren wild. Angriffe gegen 14 trennen Sicherheitslücken wurden in fünf separate Exploit-Ketten gepackt Das gab den Angreifern die Möglichkeit, aktuelle Kompromisse einzugehen Geräte.

Die Angriffe wurden von einer kleinen Sammlung von gehackten geführt Webseiten, die die Exploits nutzten, um jeden wahllos anzugreifen iOS-Gerät, das besucht hat. Angreifer nutzten die Exploits zur Installation Malware, die Fotos, E-Mails, Anmeldeinformationen gestohlen hat, live Standortdaten und mehr von iPhones und iPads. Project ZeroForscher haben keine der Websites identifiziert, auf denen die gehostet wurden Exploits. Am Montag haben Forscher vom Sicherheitsunternehmen Volexity hat 11 Websites identifiziert, die Besucher aus Uiguren und Ostturkistan bedienen das hat wahrscheinlich den iOS-Exploits gedient. Auf dem Volexity-Post stand einer von Die Websites schienen auch eine Android-Sicherheitslücke auszunutzen, die hat 2017 mit der Veröffentlichung von Chrome 60 aufgehört zu arbeiten.

Das Projekt Zero berichtet, dass Websites offen und willkürlich ausgenutzt iOS Zero-Days für mehr als zwei Jahre Viele der konventionellen Annahmen stellten ein gewisses Maß an Sicherheit in Frage Forscher machten über Sicherheit auf dem Apple Mobile OS. Vorher, Viele gingen davon aus, dass Zero-Click- oder One-Click-Angriffsketten funktionierten Gegen die neueste Version von iOS waren sie so teuer und selten, dass sie wurden sparsam eingesetzt. Wie willkürlich die Exploits eingesetzt wurden Die von Project Zero entdeckten Websites schlugen unveröffentlichtes iOS vor Angriffe waren trotz des beträchtlichen Fachwissens reichlich um sie zu entwickeln.

„Die neuesten Zero-Days für Apples Plattform Von Googles Project Zero angekündigt, war dies ein Weckruf unsere Ansichten über das iOS-Ökosystem und seine Sicherheit erschüttern “, so Jérôme Segura, Director of Threat Intelligence bei Antivirus Provider Malwarebytes, sagte Ars. „Es stimmt zwar, dass Apple das kontrolliert Hardware und dass Betriebssystem-Updates schnell übernommen werden, sehen wir Beweise dafür, dass entschlossene Angreifer die iOS-Sicherheit umgehen können Mechanismen mehr als in der Vergangenheit. ”

Zerodiums Update besagte, dass der Preis für Android 2,5 Millionen US-Dollar betrug Versionen 8 und 9. Das Update bezog sich nicht auf Android 10, das wurde am Dienstag veröffentlicht, aber Bekrar sagte Ars, dass diese Version ist auch abgedeckt. Während Zerodium $ 2,5 Millionen und $ 2 zahlt Millionen für Zero-Click-Exploit-Ketten für Android und iOS, jeweils Top-Preis für vergleichbare Exploits auf Desktop Das Betriebssystem ist mit 1 Million US-Dollar an der Spitze.

„Mobile Benutzer sollten sich keine Sorgen um die Gesamtsicherheit von machen mobile Endgeräte sind heutzutage viel besser als jeder Laptop oder Computer «, sagte Bekrar.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: