Une surabondance d’iOS 0 jours pousse leur prix en dessous coût de ceux pour Un droid

Illustration de billets de 100 dollars US aspirés dans un réseau à large bande.AgrandirGetty Images | Aurich Lawson

Pour la première fois, le courtier d’exploits de sécurité Zerodium est payer un prix plus élevé pour les attaques zéro jour qui ciblent Android que cela paie pour des attaques comparables ciblant iOS.

Une liste de prix mise à jour publiée mardi indique que Zerodium sera maintenant payer 2,5 millions de dollars pièce pour la “chaîne complète (Zero-Click) avec persistence “Android zero-jours contre 2 millions de dollars pour iOS zéro jour qui répondent aux mêmes critères. Le programme précédent aperçu offert 2 millions de dollars pour les exploits iOS non publiés, mais fait aucune référence aux exploits pour Android. Fondateur de Zerodium et son PDG, Chaouki Bekrar, ont déclaré à Ars que le courtier avait payé “au cas par cas selon la chaîne “pour les exploits Android.

“Inondé par les exploits iOS”

Bekrar a déclaré à Ars que le déménagement avait été provoqué par une surabondance de iOS en état de marche exploiter les chaînes qui a coïncidé avec la difficulté croissante de trouver des exploits comparables pour les versions 8 et 9 d’Android. Dans un message, Bekrar a écrit:

Au cours des derniers mois, nous avons observé une augmentation de la nombre d’exploits iOS, principalement des chaînes Safari et iMessage, étant développé et vendu par des chercheurs du monde entier. le marché du jour zéro est tellement inondé par les exploits iOS que nous avons récemment commencé à refuser certains d’entre eux.

D’autre part, la sécurité Android s’améliore à chaque nouvelle publication du système d’exploitation grâce aux équipes de sécurité de Google et Samsung, il est donc devenu très difficile et fastidieux de développer pleinement chaînes d’exploits pour Android et il est encore plus difficile de développer zéro cliquez sur les exploits ne nécessitant aucune interaction de l’utilisateur.

Conformément à ces nouveaux défis techniques liés à la La sécurité Android et nos observations des tendances du marché, nous croyons ce moment est venu d’allouer les primes les plus élevées à Android exploite jusqu’à ce qu’Apple re-améliore la sécurité d’iOS et renforce ses parties les plus faibles que sont iMessage et Safari (Webkit et bac à sable).

Les systèmes d’exploitation modernes contiennent une variété de sécurité protections qui obligent généralement les attaquants à combiner deux ou plus exploits dans une chaîne d’attaque, chaque maillon s’attaquant à un demande ou défense. Les exploits sans clic sont ceux qui ne ne nécessite aucune interaction de la part de l’utilisateur final. Anexploiter qui arrive dans un message texte et permet à l’attaquant de prendre le contrôle d’un appareil est un exemple. Un exploit en un clic, par contraste, oblige l’utilisateur final à prendre des mesures minimales, telles que visiter un site Web piégé.

Appel de réveil

Lectures complémentaires

Armés de iOS 0 jours, les pirates ont infecté sans distinction des iPhones pour deux ansLe changement de prix intervient quatre jours après les chercheurs de Le Projet zéro de Google a signalé que les utilisateurs de versions intégralement corrigées d’iOS étaient vulnérables à iOS jour zéro qui ont été exploités dans le sauvage depuis plus de deux ans. Les attaques contre 14 séparés les vulnérabilités ont été regroupées dans cinq chaînes d’exploitation distinctes qui a donné aux assaillants la capacité de compromettre à jour dispositifs.

Les attaques ont été menées à partir d’une petite collection de sites Web qui ont utilisé les exploits pour attaquer tous les jours sans distinction appareil iOS qui a visité. Les attaquants ont utilisé les exploits pour installer logiciels malveillants qui volaient des photos, des courriels, des identifiants de connexion, en direct données de localisation, et plus encore sur iPhone et iPad. Project Zerochercheurs n’ont identifié aucun des sites Web hébergeant le exploits. Lundi, des chercheurs de la société de sécurité Volexity a identifié 11 sites Web desservant les visiteurs Uyghur et East Turkistan qui a probablement servi les exploits iOS. Le poste de Volexity a déclaré l’un des les sites semblaient également exploiter une vulnérabilité Android cessé de fonctionner en 2017 avec la sortie de Chrome 60.

Le projet zéro rapport que les sites Web ouvertement et exploité sans discernement des jours zéro iOS pendant plus de deux ans contesté beaucoup des hypothèses conventionnelles une certaine sécurité chercheurs ont fait sur la sécurité sur le système d’exploitation mobile Apple. Précédemment, beaucoup ont supposé que les chaînes d’attaque en un clic ou en un clic fonctionnaient contre la dernière version d’iOS étaient si coûteux et rares qu’ils ont été utilisés avec parcimonie. La façon aléatoire dont les exploits ont été utilisés sur les sites découverts par Project Zero ont suggéré iOS non publié les attaques étaient nombreuses, malgré l’expertise considérable nécessaire pour les développer.

“La dernière série de zéro jours affectant la plate-forme Apple annoncé par le projet zéro de Google était un peu un appel de réveil bouleversant notre vision de l’écosystème iOS et de sa sécurité », Jérôme Segura, directeur du renseignement sur les menaces chez le fournisseur d’antivirus Malwarebytes, dit à Ars. �S’il est vrai qu’Apple contrôle le matériel et que les mises à jour du système d’exploitation sont adoptées rapidement, nous constatons preuve que des attaquants déterminés sont capables de contourner la sécurité iOS mécanismes plus que par le passé. ”

La mise à jour de Zerodium indique que le prix de 2,5 millions de dollars appliqué à Android versions 8 et 9. La mise à jour ne fait aucune référence à Android 10, qui a été publié mardi, mais Bekrar a dit à Ars que cette version est couvert aussi bien. Alors que Zerodium paie 2,5 millions de dollars et 2 dollars millions pour les chaînes d’exploitation zéro clic pour Android et iOS, respectivement, meilleur prix pour des exploits comparables ciblant des postes de travail Les systèmes d’exploitation atteignent un million de dollars.

“Les utilisateurs de mobiles ne doivent pas s’inquiéter car la sécurité globale des les appareils mobiles est de nos jours beaucoup mieux que n’importe quel ordinateur portable ou ordinateur », a déclaré Bekrar.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: