Den velkendte sårbarhed mægler, Zerodium, har opdateret sin prisliste, og nu for første gang i historien exploits til Android er dyrere end exploits til iOS.
jegS researchers have the opportunity to earn on 0-day bugs for Android, hvis drift ikke kræver brugerens interaktion, op til $2,500,000. Lignende udnytter til iOS omkostninger $2,000,000.Dermed, Zerodium raised the rewards for such exploits for Android by almost 12 times compared to last year (minder om, earlier problems in the Google operating system could bring no more than $200,000). For vulnerabilities of a smaller caliber, the cost has increased by Mere end 100 gange. The announcement was definitely timed to coincide with the official release of Android 10, which also took place yesterday, september 3, 2019.
Derudover, the vulnerability broker raised the cost of exploits for messengers, regardless on which OS they are running. Now the RCE and LPE problems in WhatsApp and iMessage are estimated at $1,500,000, even if the exploit does not allow maintaining presence in the system after a reboot.
If the problem requires user interaction, the price for the exploit chain reduced to $1,000,000 til fejl i WhatsApp og op til $500,000 til fejl i iMessage. Sidste år, sådanne sårbarheder ville bringe forskere ikke mere end $500,000.
lederen af Zerodium, Chauki Bekrar, fortalt ZDNet journalister, der hæver priserne, hans virksomhed reagerer kun på markedstendenser.
Faktum er, at Zerodium forretningsmodel (på grund af hvilken virksomheden gentagne gange blev udsat for hård kritik) er sådan, at virksomheden opbevarer oplysninger om 0-dages uafhængigt og købt af tredjepart i hemmelighed, mens de videresælges til store virksomheder, offentlige organisationer og retshåndhævelsesbureauer strukturer. For eksempel, NSA eller militæret. Dermed, prisstigningen kan forklares med den interesse, Zerodium-klienterne har (Det er, retshåndhævelsesagenturer og offentlige agenturer over hele verden) viser til Android-problemer.
Bekrar siger, at på grund af den store fragmentering af markedet for Android-enheder, Virksomheden er primært interesseret i fejl i enhederne Google, Samsung, Huawei og Sony, skønt andre mærker heller ikke ignoreres.
”I de sidste par måneder, Vi har set en stigning i antallet af udnyttelser til iOS, hovedsageligt til Safari og iMessage, som er oprettet og solgt af forskere fra hele verden. Det 0-dages marked var mættet med udnyttelser til iOS, som vi for nylig endda begyndte at opgive nogle af dem. På den anden side, tak til Google og Samsungs sikkerhedsteam, Android's sikkerhed forbedres med hver nye udgivelse, så udvikling af komplette udnyttelseskæder til Android er blevet en kompleks og tidskrævende opgave, overgår endda at skabe brug af nul-klik, der ikke kræver brugerinteraktion ”, siger Bekrar, forklare prisstigningen.
Beckrar bemærker, at Android-udnyttelse vil blive værdsat højere end iOS-udnytter, indtil Apple forbedrer iOS-sikkerhed og styrker sine svagheder, såsom iMessage og Safari (Webkit og sandkasse).
