AmpliarGetty Images | Aurich Lawson
Por primera vez, el corredor de seguridad Zerodium es pagar un precio más alto por los ataques de día cero dirigidos a Android que paga por ataques comparables dirigidos a iOS.
Una lista de precios actualizada publicada el martes muestra que Zerodium ahora pagar $ 2.5 millones cada uno por “cadena completa (clic cero) con persistencia “Android de cero días en comparación con $ 2 millones para iOS días cero que cumplan los mismos criterios. El programa anterior Descripción general ofreció $ 2 millones para exploits iOS no publicados pero No hay ninguna referencia a las hazañas para Android. Fundador de Zerodium y el CEO Chaouki Bekrar le dijo a Ars que el corredor pagó un “caso por caso base dependiendo de la cadena “para exploits de Android.
“Inundado por exploits iOS”
Bekrar le dijo a Ars que el movimiento fue impulsado por un exceso de iOS funcional explotar cadenas que han coincidido con la creciente dificultad de Encontrar exploits comparables para las versiones 8 y 9 de Android. en un mensaje, Bekrar escribió:
Durante los últimos meses, hemos observado un aumento en el cantidad de exploits de iOS, principalmente cadenas de Safari e iMessage, siendo desarrollado y vendido por investigadores de todo el mundo. los el mercado de día cero está tan inundado por las vulnerabilidades de iOS que recientemente hemos comenzó a rechazar algunos [de] ellos.
Por otro lado, la seguridad de Android está mejorando con cada nuevo lanzamiento del sistema operativo gracias a los equipos de seguridad de Google y Samsung, por lo que se volvió muy difícil y lento desarrollarlo por completo cadenas de exploits para Android y es aún más difícil desarrollar cero explotaciones de clics que no requieren ninguna interacción del usuario.
De acuerdo con estos nuevos desafíos técnicos relacionados con La seguridad de Android y nuestras observaciones de las tendencias del mercado, creemos ha llegado el momento de asignar las recompensas más altas a Android explota hasta que Apple vuelva a mejorar la seguridad de iOS y fortalece sus partes más débiles que son iMessage y Safari (Webkit y caja de arena).
Los sistemas operativos modernos contienen una variedad de seguridad protecciones que generalmente requieren que los atacantes combinen dos o más explota en una cadena de ataque, con cada enlace abordando un diferente Aplicación o defensa. Las vulnerabilidades de clic cero son aquellas que no requieren cualquier interacción por parte del usuario final. Anexploit que llega en un mensaje de texto y permite al atacante tomar el control de un dispositivo es un ejemplo. Un exploit de un clic, por contraste, requiere que el usuario final tome medidas mínimas, como visitando un sitio web con trampas explosivas.
Llamada de atención
Otras lecturas
Armados con iOS 0days, los piratas informáticos infectaron indiscriminadamente iPhones para dos años El cambio de precio se produce cuatro días después de que los investigadores de El Proyecto Cero de Google informó que los usuarios de versiones completamente parcheadas de iOS eran vulnerables a iOS de cero días que fueron explotados en el salvaje por más de dos años. Ataques contra 14 separados las vulnerabilidades se agruparon en cinco cadenas de exploits separadas que les dio a los atacantes la capacidad de comprometerse al día dispositivos.
Los ataques se libraron de una pequeña colección de piratas informáticos. sitios web que utilizaron las hazañas para atacar indiscriminadamente cada Dispositivo iOS que visitó. Los atacantes usaron los exploits para instalar malware que robó fotos, correos electrónicos, credenciales de inicio de sesión, en vivo datos de ubicación y más de iPhones y iPads. Proyecto cero los investigadores no identificaron ninguno de los sitios web que alojaban el hazañas El lunes, investigadores de la firma de seguridad Volexity identificaron 11 sitios web que sirven a los visitantes de Uyghur y Turkestán Oriental eso probablemente sirvió a las hazañas de iOS. La publicación de Volexity dijo que uno de los sitios también parecían explotar una vulnerabilidad de Android que dejó de funcionar en 2017 con el lanzamiento de Chrome 60.
El Proyecto Cero informa que los sitios web abiertamente y iOS cero explotado indiscriminadamente durante más de dos años desafió muchos de los supuestos convencionales cierta seguridad Los investigadores hicieron sobre la seguridad en el sistema operativo móvil de Apple. Previamente, muchos supusieron cadenas de ataque de clic cero o un clic que funcionaron contra la última versión de iOS eran tan costosas y raras que fueron utilizados con moderación. La forma fortuita en que se utilizaron las hazañas los sitios descubiertos por Project Zero sugirieron iOS no publicado los ataques fueron abundantes, a pesar de la considerable experiencia necesaria para desarrollarlos.
“El último conjunto de días cero que afecta a la plataforma de Apple anunciado por el Proyecto Cero de Google fue un poco una llamada de atención destrozando nuestras opiniones sobre el ecosistema iOS y su seguridad “, Jérôme Segura, director de inteligencia de amenazas en el proveedor de antivirus Malwarebytes, le dijo a Ars. “Si bien es cierto que Apple controla el hardware y que las actualizaciones del sistema operativo se adopten rápidamente, estamos viendo evidencia de que determinados atacantes pueden eludir la seguridad de iOS mecanismos más que en el pasado “.
La actualización de Zerodium dice que el precio de $ 2.5 millones aplicado a Android versiones 8 y 9. La actualización no hizo referencia a Android 10, que fue lanzado el martes, pero Bekrar le dijo a Ars que esa versión es cubierto también. Mientras Zerodium paga $ 2.5 millones y $ 2 millones para cadenas de explotación sin clic para Android e iOS, respectivamente, precio máximo para exploits comparables dirigidos a computadoras de escritorio Los sistemas operativos superan los $ 1 millón.
“Los usuarios móviles no deben preocuparse ya que la seguridad general de hoy en día los dispositivos móviles son mucho mejores que cualquier computadora portátil o computadora ”, dijo Bekrar.