El corredor de la vulnerabilidad conocida, Zerodium, ha actualizado su lista de precios, y ahora, por primera vez en la historia explota para Android son más caros que los exploits para iOS.
yoS investigadores tienen la oportunidad de ganar en los insectos 0 días para Android, la operación de los cuales no requiere interacción del usuario, hasta $2,500,000. exploits similares para iOS coste $2,000,000.Así, Zerodium levantó las recompensas por tales hazañas para Android por casi 12 veces en comparación con el año pasado (Recordando, problemas anteriores en el sistema operativo de Google podrían traer no más de $200,000). En busca de vulnerabilidades de menor calibre, el costo se ha incrementado en Mas que 100 veces. El anuncio fue definitivamente programado para coincidir con el lanzamiento oficial de Android 10, que también tuvo lugar ayer, septiembre 3, 2019.
Adicionalmente, el corredor de la vulnerabilidad aumentó el costo de los exploits para los mensajeros, independientemente de qué sistema operativo se está ejecutando. Ahora los problemas RCE y LPE en WhatsApp y iMessage se estiman en $1,500,000, incluso si el exploit no permite mantener la presencia en el sistema después de un reinicio.
Si el problema requiere interacción del usuario, el precio de la cadena explotar reduce a $1,000,000 por errores en WhatsApp y hasta $500,000 por errores en iMessage. El año pasado, tales vulnerabilidades traerían investigadores no más de $500,000.
La cabeza de Zerodium, Chauki Bekrar, dicho ZDNet periodistas que subir los precios, su compañía sólo responde a las tendencias del mercado.
El hecho es que el modelo de negocio Zerodium (debido a que la empresa se sometió repetidamente a duras críticas) es tal que la empresa mantiene información acerca de 0 días encontrado de forma independiente y comprado a terceros en secreto, mientras que revenden a grandes empresas, organizaciones gubernamentales y organismos de las estructuras policiales. Por ejemplo, la NSA o el ejército. Así, el incremento de los precios se explica por el interés que los clientes Zerodium (Es decir, los organismos policiales y agencias gubernamentales de todo el mundo) están mostrando a los problemas de Android.
Bekrar dice que debido a la gran fragmentación del mercado de dispositivos Android, la empresa está principalmente interesado en los errores en los dispositivos de Google, Samsung, Huawei y Sony, aunque tampoco serán ignorados otras marcas.
“En los últimos meses, hemos visto un aumento en el número de exploits para iOS, principalmente para Safari y iMessage, que son creados y vendidos por los investigadores de todo el mundo. El mercado de 0 días saturado con exploits para iOS que recientemente hemos siquiera empezado a abandonar algunas de ellas. Por otra parte, Gracias a los equipos de seguridad de Google y Samsung, de seguridad de Android está mejorando con cada nueva versión, por lo que el desarrollo de las cadenas de explotación completa para Android se ha convertido en una tarea compleja y requiere mucho tiempo, superando incluso la creación de cero clic exploits que no requieren la interacción del usuario”, dice Bekrar, explicar el aumento de precios.
Beckrar señala que explota Android se valorarán más alta que explota iOS hasta que Apple iOS mejora la seguridad y fortalece sus debilidades, tales como iMessage y Safari (Webkit y la caja de arena).
