De bekende kwetsbaarheid broker, Zerodium, heeft haar prijslijst bijgewerkt, en nu voor het eerst in de geschiedenis exploits voor Android zijn duurder dan exploits voor iOS.
ikS-onderzoekers hebben de mogelijkheid om te verdienen aan 0-day bugs voor Android, waarvan de werking niet gebruikersinteractie vereisen, tot $2,500,000. Vergelijkbare exploits voor iOS kosten $2,000,000.Dus, Zeroodium verhoogde de beloningen voor dergelijke exploits voor Android met bijna 12 keer vergeleken met vorig jaar (Onder verwijzing naar, eerdere problemen in het Google-besturingssysteem konden niet meer opleveren dan: $200,000). Voor kwetsbaarheden van een kleiner kaliber, de kosten zijn gestegen met Meer dan 100 tijden. De aankondiging was zeker getimed om samen te vallen met de officiële release van Android 10, die gisteren ook plaatsvond, september 3, 2019.
Daarnaast, de kwetsbaarheidsmakelaar verhoogde de kosten van exploits voor messengers, ongeacht op welk besturingssysteem ze draaien. Nu worden de RCE- en LPE-problemen in WhatsApp en iMessage geschat op $1,500,000, zelfs als de exploit het niet toestaat om aanwezig te blijven in het systeem na een herstart.
Als het probleem gebruikersinteractie vereist, de prijs voor de exploitketen verlaagd tot $1,000,000 voor bugs in WhatsApp en tot $500,000 voor bugs in iMessage. Afgelopen jaar, dergelijke kwetsbaarheden zouden onderzoekers niet meer opleveren dan $500,000.
het hoofd van Zerodium, Chauki Bekrar, vertelde ZDNet verslaggevers die de prijzen verhogen, zijn bedrijf speelt alleen in op markttrends.
Het feit is dat het Zeroodium-bedrijfsmodel (waardoor het bedrijf herhaaldelijk werd onderworpen aan harde kritiek) is zodanig dat het bedrijf informatie over 0-day die onafhankelijk is gevonden en van derden is gekocht in het geheim bewaart, terwijl ze worden doorverkocht aan grote bedrijven, structuren van overheidsorganisaties en wetshandhavingsinstanties. Bijvoorbeeld, de NSA of het leger. Dus, de prijsstijging kan worden verklaard door de interesse die klanten van Zeroodium (Dat is, wetshandhavingsinstanties en overheidsinstanties over de hele wereld) worden weergegeven voor Android-problemen.
Bekrar zegt dat vanwege de grote versnippering van de markt voor Android-apparaten, het bedrijf is vooral geïnteresseerd in bugs in de apparaten van Google, Samsung, Huawei en Sony, hoewel andere merken ook niet worden genegeerd.
“In de afgelopen maanden, we hebben een toename gezien in het aantal exploits voor iOS, voornamelijk voor Safari en iMessage, die zijn gemaakt en verkocht door onderzoekers van over de hele wereld. De 0-dagen-markt verzadigd met exploits voor iOS waarvan we onlangs zelfs zijn begonnen sommige ervan te verlaten. Anderzijds, dankzij de beveiligingsteams van Google en Samsung, De beveiliging van Android verbetert met elke nieuwe release, dus het ontwikkelen van complete exploitketens voor Android is een complexe en tijdrovende taak geworden, beter presteren dan zelfs het creëren van zero-click exploits die geen gebruikersinteractie vereisen”, zegt Bekrar, uitleg over de prijsstijging.
Beckrar merkt op dat Android-exploits hoger gewaardeerd zullen worden dan iOS-exploits totdat Apple de iOS-beveiliging verbetert en de zwakke punten versterkt, zoals iMessage en Safari (Webkit en sandbox).
