未发布的Android漏洞利用的最高价格达到250万美元 比iOS高出2
有史以来第一次,安全漏洞利用经纪人Zerodium为针对Android的零日攻击付出了更高的代价,而不是为针对iOS的类似攻击付出的代价。
周二发布的最新价格表显示,Zerodium现在每人支付250万美元用于“持续性”Android零日的“全链(零点击)”,而符合相同标准的iOS零日则为200万美元。在以前的计划概述提供对未发表的iOS漏洞$ 2百万,但在做所有的漏洞为Android没有提及。Zerodium创始人兼首席执行官Chaouki Bekrar告诉Ars,经纪人为Android漏洞利用“依赖于链条的个案”付款。
“被iOS漏洞淹没”
Bekrar告诉Ars,这一举动是由于大量工作的iOS漏洞利用链同时发现难以找到Android版本8和9的类似漏洞。在一条消息中,Bekrar写道:
在过去几个月中,我们观察到来自世界各地的研究人员开发和销售的iOS漏洞数量增加,主要是Safari和iMessage链。我们最近开始拒绝其中的一些iOS漏洞,因此零日市场充斥着这些漏洞。
另一方面,由于谷歌和三星的安全团队,每次发布新操作系统都会提高Android安全性,因此开发完整的Android攻击链变得非常困难和耗时,开发零点击更加困难漏洞不需要任何用户交互。
根据与Android安全相关的这些新技术挑战以及我们对市场趋势的观察,我们认为现在是时候将最高奖励分配给Android漏洞,直到Apple重新提升iOS的安全性并加强其最薄弱的部分,即iMessage和Safari(Webkit和沙箱)。
现代操作系统包含各种安全保护,通常要求攻击者在攻击链中组合两个或多个漏洞,每个链接处理不同的应用程序或防御。零点击攻击是最终用户不需要任何交互的攻击。例如,在文本消息中到达并允许攻击者控制设备的漏洞利用就是一个例子。相比之下,一键式攻击需要最终用户采取最小的行动,例如访问陷阱网站。
在iOS 0days的武装下,黑客不分青红皂白地感染了iPhone两年
谷歌Project Zero的研究人员报告说,完全修补版本的iOS的用户很容易受到在零野外开发超过两年的iOS零日攻击,价格发生变化。对14个独立漏洞的攻击被打包成五个独立的漏洞利用链,使攻击者能够破坏最新的设备。
这些攻击是从一小部分被黑网站发起的,这些网站利用这些漏洞不分青红皂白地攻击每一个访问过的iOS设备。攻击者利用这些漏洞安装恶意软件,从iPhone和iPad窃取照片,电子邮件,登录凭据,实时位置数据等。Project Zero的研究人员没有发现任何托管这些漏洞的网站。周一,来自安全公司Volexity的研究人员发现了11个网站,为维吾尔和东突厥斯坦的访客提供服务,这些网站可能为iOS提供服务。Volexity的帖子称,其中一个网站似乎也利用了一个Android漏洞,该漏洞在2017年随着Chrome 60的发布而停止工作。
Project Zero报告称,网站公开和不分青红皂白地利用iOS零天来两年多的时间挑战了一些安全研究人员对Apple移动操作系统安全性所做的许多传统假设。以前,许多人假设零点击或一键攻击链对最新版本的iOS起作用是如此昂贵和罕见,以至于他们被谨慎使用。在零点项目发现的网站上使用漏洞的随意方式表明,尽管开发它们需要相当多的专业知识,但未发表的iOS攻击仍然很多。
“反对谷歌Project Zero公布的苹果平台的最新零天影响了一些警告,打破了我们对iOS生态系统及其安全性的看法,”反病毒提供商Malwarebytes的威胁情报主管JérômeSegura告诉Ars。“虽然Apple控制硬件并且操作系统更新很快被采用,但我们看到的证据表明,确定的攻击者能够比过去更多地绕过iOS安全机制。”
Zerodium的更新称,Android版本8和9的价格为250万美元。该更新未提及周二发布的 Android 10 ,但Bekrar告诉Ars该版本也已被覆盖。虽然Zerodium分别为Android和iOS支付250万美元和200万美元的零点击漏洞利用链,但针对桌面操作系统的可比漏洞利用的最高价格最高可达100万美元。
“移动用户不应该担心,因为移动设备的整体安全性现在比任何笔记本电脑或计算机都要好得多,”Bekrar说。