Zerodium, en virksomhed, der hævder, at det køber, og så sælger software udnytter til regering og retshåndhævende myndigheder, har opdateret sin pris liste i dag, og udnytter Android er mere værd end iOS udnytter for første gang nogensinde.
I henhold til den virksomhed, der begynder i dag, en nul-klik på (ingen bruger interaktion) udnytte kæde til Android kan få hackere og sikkerhedseksperter op til $2,5 millioner i gevinster. En lignende udnytte kæde påvirker iOS er værd kun $2 millioner.
Zerodium ‘ s nye pris for Android udnytter er næsten tolv gange mere, når sammenlignet med det maksimale på $200.000 og selskabet var villig til at tilbyde et år siden, og endda 100 gange mere end Zerodium skulle betale for nogle af de lavere effekt Android udnytter.
Billede: Zerodium
Zerodium har timet sin annoncering med Google ‘ s officielle overgang til Android-10, der er planlagt til senere i dag. En Google-talsmand ikke returnere en anmodning om kommentarer.
Højere afkast for IM udnytter såvel
På samme tid, Zerodium også meddelt, at den var stigende udbetalinger til exploits i instant messaging-klienter, uanset hvilket OPERATIVSYSTEM de kører.
En exploit kæde, der består af en ikke-bruger-interaktion (nul-klik) fjernkørsel af programkode (RCE) fejl og en lokal rettighedsforøgelse (LPE) i WhatsApp eller iMessage er nu en værdi på $1,5 millioner, selv hvis genstarte vedholdenhed er ikke opnået.
Hvis brugeren interaktion er påkrævet, så den belønning/pris for at udnytte kæde går ned til $1 million for WhatsApp og $500.000 til iMessage.
Sidste år, samme fejl i disse to IM apps ville have bragt kun et maksimum på $500.000.
Et marked skift
I en tweet fra virksomhedens officielle Kvidre konto, Zerodium hævdede prisen opdateringer er “i overensstemmelse med udviklingen i markedet.”
Dette er i overensstemmelse med, hvad Zerodium CEO Chaouki Bekrar fortalte ZDNet i et interview i Marts, efter at selskabet lanceret en nul-dag erhvervelse program for cloud-baserede teknologier.
Bekrar sagde, at Zerodium ‘ s kunder, er dem, der spørger til specifikke udnytte kæder, og hans selskab reagerer ved at øge belønninger for at udnytte indlæg.
Med andre ord, Zerodium pris vandretur i dag kan fortolkes som retshåndhævende myndigheder og regeringsorganer over hele verden, viser en pludselig interesse i at erhverve software udnytter til Android-enheder.
Når ZDNet spurgte Bekrar i dag, hvis den Android fragmentering af markedet, vil kunne spille en rolle i det, der udnytter hans selskab ville acceptere, Zerodium exec sagde, at de vil “for det meste fokuserer på Google, Samsung, Huawei og Sony-enheder,” men der udnytter til andre mærker også blev accepteret, men på grundlag af en individuel vurdering.
Før i dag, de fleste udnytte mæglere, ikke bare Zerodium, prissat iOS udnytter højere, fordi iPhones køre på den samme hardware, og er for det meste op til dato, hvilket gør Apple ‘s arbejde lettere i overensstemmelse enheder sikret, og hackere’ job hårdere i hacking disse enheder.
I modsætning, der er snesevis af Android-Oem ‘ er at gøre deres egne enheder på forskellige hardware specs, og de fleste af dagens Android-enheder er håbløst forældet, som mobile tjenester og enhed-leverandører har undladt at levere over-the-air (OTA) sikkerhedsopdateringer i tide manerer for år.
Bekrar forklarer yderligere, hvordan dette landskab og sikkerhedsforanstaltningerne på de to operativsystemer har spillet en rolle i Zerodium stigende priser for Android-zero-day exploits.
“I løbet af de sidste par måneder, har vi observeret en stigning i antallet af iOS exploits, for det meste Safari og iMessage kæder, udvikles og sælges af forskere fra hele verden,” Zerodium CEO sagde. “Nul-dag markedet er så oversvømmet af iOS udnytter, at vi har for nylig begyndt at afvise dem.
“I den anden hånd, Android sikkerhed er bedre med hver nye version af OS takket være den sikkerhed hold af Google og Samsung, så blev det meget svært og tidskrævende at udvikle fulde kæder af exploits til Android, og det er endnu sværere at udvikle nul-klik udnytter ikke kræver brugerindgriben,” tilføjede han.
“I overensstemmelse med disse nye tekniske udfordringer, som er knyttet til Android sikkerhed, og vores observationer af tendenser på markedet, mener vi, at tiden er kommet til at afsætte den højeste dusører til Android udnytter, indtil Apple re-forbedrer sikkerheden for iOS og styrker dens svageste dele, som er iMessage og Safari (Webkit og sandkasse).”
Artikel opdateret på September 3, klokken 14:10 pm ET, med kommentarer fra Zerodium administrerende DIREKTØR.
Sikkerhed
Android Google Play app med 100 millioner downloads begynder at levere malware
Microsoft: Brug af multi-faktor-autentificering blokke 99,9% af konto hacks
En ny tingenes internet botnet er at inficere Android-baseret set top-bokse
Skam over SHA-2: Symantec dumper grundlæggende programmering (ZDNet YouTube)
Den bedste DIY sikkerhed i hjemmet systemer i 2019 (CNET)
Den største cybersecurity risici i den finansielle sektor (TechRepublic)
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre