Jabuka
Apple iPhone, koji radi na vlasničkoj, zatvorenoj verziji i jako zaključanoj verziji iOS mobilnog operativnog sustava, sada je očito ranjiviji na daljinski izvršne sigurnosne i privatne iskorištavanja od Androida. Prvi put, tehnike hakiranja koje mogu daljinski osakati iPhoneovu obranu bez interakcije korisnika koštaju manje od onih potrebnih za proboj u Android pametni telefon.
Čvrsto uvjerenje da je sigurnost Appleovog iPhonea ili iOS-a neprobojna, moglo bi se poljuljati, barem kratkoročno. Podzemna tržišta koja trguju tajnim, ali uspješno iskoristivim manama i ranjivostima u iOS-u, OS-u koji radi isključivo na Apple iPhone-ima, ukazala su na promjenu percepcije. Po prvi put, bilo koji tajni alat za hakiranje koji može daljinski preuzeti nadzor nad Android pametnim telefonom bez korisničke interakcije naređuje veću cijenu od njegove iPhone ekvivalente.
Zerodium prvo smanjuje, a zatim obustavlja kupnju sigurnosnih eksploatacija iOS-a zbog obilja nedostataka?
Zerodium, koji kupuje i prodaje takozvane explotate zero-day koji iskorištavaju tajne softverske ranjivosti, objavio je da je privremeno obustavio kupnju novih iOS Local Privilege Escalation, Safari Remote Code Execution ili exploita u pješčaniku, u sljedećih nekoliko mjeseci. Uz to, tvrtka je objavila ažurirani cjenik sigurnosnih ranjivosti za iOS i Android OS OS.
NEĆEMO nabavljati nijedan novi Apple iOS LPE, Safari RCE ili pješčanik u sljedeća 2 do 3 mjeseca zbog velikog broja prijava povezanih s tim vektorima.
Cijene iOS lanaca jednim klikom (npr. Putem Safarija) bez trajnosti vjerojatno će pasti u bliskoj budućnosti.
- Zerodium (@Zerodium) 13. svibnja 2020
Obustava dolazi nakon što je tvrtka navodno počela primati velik broj prijava za eksploatacije unutar Apple iOS-a. Tvrtka je tvrdila da će i dalje bez upornosti prihvaćati iOS lance jednim klikom (npr. Putem Safarija). Međutim, cijene istih znatno su smanjene, a zanimljivo je da su cijene sigurnosnih nedostataka iOS-a sada ispod onih u Android OS-u.
iOS sigurnost je sjebana. Samo PAC i nepostojanost zadržavaju ga da padne na nulu ... ali vidimo mnogo iskorištavanja koja zaobilaze PAC, a postoji nekoliko istrajnih iskorištavanja (0 dana) koje rade sa svim iPhoneima / iPadima. Nadajmo se da će iOS 14 biti bolji. https://t.co/39Kd3OQwy1
- Chaouki Bekrar (@cBekrar) 13. svibnja 2020
Izvršni direktor Zerodium-a Chaouki Bekrar imao je prilično jak izbor riječi da opiše trenutačno stanje sigurnosti iOS-a. Tvrdio je da samo kôd za provjeru autentičnosti pokazivača i eksplozivi koji ne traju održavaju iOS sigurnost na površini. Uz to je tvrdio da u tim kategorijama još uvijek ima dovoljno iskorištavanja. Nepotrebno je dodavati, takve bi tvrdnje trebale biti zabrinjavajuće za Apple koji se ponosi vrlo neprobojnim sigurnosnim slojevima unutar iOS-a.
Dolazeći na cjenovni popis sigurnosnih ranjivosti, Zerodium sada nudi do 2,5 milijuna dolara za tehniku hakiranja bez klika koja u potpunosti i tiho preuzima Android telefon bez interakcije ciljanog korisnika. Jednostavnim riječima, svako iskorištavanje koje ne zahtijeva bilo kakvu korisničku interakciju unutar Android OS-a naređuje visoku cijenu. Inače, to je još uvijek rijetka pojava. Ipak, bilo koja slična ranjivost unutar Apple iOS-a ima cijenu koja je za 500 000 USD niža od Androida.
[Zasluga za sliku: Zerodium putem ožičenja]
Govoreći o promjenjivom scenariju, osnivač Zerodiuma Chaouki Bekrar napisao je: „Tijekom posljednjih nekoliko mjeseci primijetili smo porast broja eksploatacija iOS-a, uglavnom Safarija i iMessage lanaca, koje razvijaju i prodaju istraživači iz cijelog svijeta. Tržište nultih dana toliko je preplavljeno eksploatacijama iOS-a da smo nedavno počeli odbijati neke od njih. Sigurnost Androida poboljšava se svakim novim izdanjem OS-a zahvaljujući sigurnosnim timovima Googlea i Samsunga, pa je postalo vrlo teško i dugotrajno razvijati pune lance eksploatacija za Android, a još je teže razviti eksploatacije bez klika koje ne zahtijevaju bilo kakva interakcija s korisnikom. 'Je li Apple iOS za iPhone manje siguran od Androida?
Prilično je čudno vidjeti da cijena ponude za sigurnosne eksploatacije unutar Apple iOS-a nalaže nižu cijenu od onih unutar Android OS-a. Štoviše, također je činjenica da je Android, podržan od Googlea i uglavnom vođen uslugama tvrtke, imao značajno se poboljšao u posljednjih nekoliko ponavljanja . Android je sada daleko sigurniji nego prije. Uz to, Google neprestano poboljšava sigurnost algoritmima koje podučava AI i podaci.
Dva nedostatka nula dana u iOS pošti prijete milijardama iPhonea i iPada #Ranjivost #Mana #Napad #Jabuka #iOS # Pošta https://t.co/4N26K5yDcv
- CybSploit (@cybsploit) 12. svibnja 2020
Appleov iOS i dalje se smatra vrlo sigurnim. Tvrtka ima rigorozan postupak provjere za svoj odabrani Apple App Store. Stoga stručnjaci inzistiraju da bi tvrdnje Zerodium-a mogle biti pretjerane. Ukazuju na to da se hakeri, pisci zlonamjernih kodova i drugi mogu ponovno usredotočiti na Appleov iOS. Štoviše, s trenutnom situacijom, hakeri bi mogli imati više vremena da se više trude prodrijeti u iOS sigurnost.
Oznake jabuka
