Den kjente sårbar megler, Zerodium, har oppdatert sin prisliste, og nå for første gang i historien utnyttelser for Android er dyrere enn exploits for iOS.
JegS forskere har mulighet til å tjene på 0-day bugs for Android, driften av som ikke krever brukerens interaksjon, opp til $2,500,000. Lignende exploits for iOS kostnads $2,000,000.Og dermed, Zerodium hevet belønning for slike exploits for Android med nesten 12 ganger sammenlignet med i fjor (Minner, tidligere problemer i Google operativsystem kunne bringe noe mer enn $200,000). For sårbarheter i et mindre kaliber, kostnadene har økt med Mer enn 100 ganger. Kunngjøringen ble definitivt tidsbestemt å falle sammen med den offisielle utgivelsen av Android 10, som også fant sted i går, september 3, 2019.
Dess, sårbar megleren hevet kostnadene for utnytter for budbringere, uavhengig av hvilket OS de kjører. Nå RCE og LPE problemer WhatsApp og iMessage er beregnet til $1,500,000, selv om utnytte ikke tillater opprettholdelse av tilstedeværelse i systemet etter en omstart.
Hvis problemet krever brukermedvirkning, prisen for å utnytte kjeden redusert til $1,000,000 for feil i WhatsApp og opp til $500,000 for feil i iMessage. I fjor, slike sårbarheter ville bringe forskerne ikke mer enn $500,000.
Lederen for Zerodium, Chauki Bekrar, fortalte ZDNet reportere at å øke prisene, hans selskap bare reagerer på markedstrender.
Faktum er at Zerodium forretningsmodell (på grunn av hvor selskapet ble gjentatte ganger utsatt for krass kritikk) er slik at selskapet holder informasjon om 0-dag fant selvstendig og kjøpt fra tredjeparter i hemmelighet, mens selge dem til store selskaper, statlige organisasjoner og politiet strukturer. For eksempel, NSA eller militæret. Og dermed, prisøkningen kan forklares med den interessen som Zerodium kunder (Det er, politiet og offentlige etater rundt om i verden) viser til Android problemer.
Bekrar sier at på grunn av den store fragmentering av Android-enhet markedet, Selskapet er primært interessert i bugs i enhetene Google, Samsung, Huawei og Sony, selv om andre merker vil heller ikke bli ignorert.
“I de siste månedene, Vi har sett en økning i antall exploits for iOS, hovedsakelig for Safari og iMessage, som er laget og solgt av forskere fra hele verden. 0-day markedet mettet med exploits for iOS som nylig vi selv begynte å forlate noen av dem. På den andre siden, takket være Google og Samsungs sikkerhetsteam, Android sikkerhet blir bedre med hver ny utgivelse, så å utvikle komplette utnytte kjeder for Android har blitt en komplisert og tidkrevende oppgave, gått selv å skape null-klikk utnyttelser som ikke krever brukerinteraksjon”, sier Bekrar, forklare prisøkningen.
Beckrar bemerker at Android-exploits vil bli verdsatt høyere enn iOS exploits til Apple forbedrer iOS sikkerhet og styrker sine svakheter, slik som iMessage og Safari (Webkit og sandkasse).
