Zerodium, een vennootschap die beweert dat zij koopt, en vervolgens doorverkoopt software exploits aan overheids-en wetshandhavingsinstanties, heeft een update van de prijslijst vandaag en Android-exploits zijn meer waard dan iOS exploits voor de eerste keer ooit.
Volgens het bedrijf, vanaf vandaag, een zero-click (geen gebruikersinteractie) exploiteren keten voor Android kunt krijgen hackers en beveiligingsonderzoekers tot $2,5 miljoen in de beloningen. Een soortgelijke exploiteren keten invloed op iOS is het de moeite waard is slechts $2 miljoen.
Zerodium de nieuwe prijs voor Android exploits is bijna twaalf keer meer vergeleken met de maximale van $200,000 het bedrijf bereid is te bieden dan een jaar geleden, en zelfs 100 keer meer dan Zerodium was te betalen voor een aantal van de lager-impact Android-exploits.
Afbeelding: Zerodium
Zerodium heeft tijdelijk de aankondiging van Google ‘ s officiële release voor Android-10, die gepland staat voor later op de dag. Een Google-woordvoerder nog niet terug van een verzoek om commentaar.
Hogere beloningen voor IM exploits en
Op hetzelfde moment, Zerodium ook aangekondigd dat was het verhogen van de uitbetalingen voor exploits in instant messaging-clients, ongeacht het BESTURINGSSYSTEEM worden uitgevoerd.
Een exploit keten bestaande uit een niet-gebruiker-interactie (zero-click) tot uitvoering van externe code (RCE) bug en een lokale privilege escalation (LPE) in WhatsApp of iMessage is het nu de moeite waard $1,5 miljoen, zelfs als reboot persistentie is niet bereikt.
Als de interactie van de gebruiker vereist is, dan is de beloning/prijs voor het exploiteren van de ketting gaat tot $1 miljoen voor WhatsApp en $500.000 voor iMessage.
Vorig jaar, soortgelijke bugs in deze twee IM apps zou hebben gebracht slechts een maximum van $500.000.
Een markt shift
In een tweet van het bedrijf de officiële Twitter-account, Zerodium beweerde de prijs updates “in overeenstemming met de trends in de markt.”
Dit is in overeenstemming met wat Zerodium CEO Chaouki Bekrar vertelde ZDNet in een interview in Maart van dit jaar nadat het bedrijf gestart met een zero-day-acquisitie programma voor cloud-gebaseerde technologieën.
Bekrar zei dat Zerodium de klanten, zijn degenen die vragen om specifieke exploit ketens, en zijn bedrijf reageert door het verhogen van de beloningen voor het exploiteren van de inzendingen.
In andere woorden, Zerodium de prijsstijging van vandaag kan worden geïnterpreteerd als agentschappen van de wetshandhaving en overheidsinstellingen over de hele wereld tonen van een plotselinge interesse in de aanschaf van software exploits voor Android-apparaten.
Wanneer ZDNet vroeg Bekrar vandaag als de Android market fragmentatie een rol zou spelen in wat exploiteert zijn bedrijf zou accepteren, de Zerodium exec zei ze “vooral richten op Google, Samsung, Huawei en Sony-apparaten,” maar dat exploits voor andere merken werden ook geaccepteerd, maar op een geval per geval basis.
Voorafgaand aan de huidige, meest exploiteren makelaars, niet alleen Zerodium, geprijsd iOS exploits hoger omdat de iPhones op dezelfde hardware, en zijn meestal up-to-date, waardoor Apple ‘s werk gemakkelijker te maken in het houden van apparaten beveiligd, en hackers’ werk moeilijker in het hacken van deze apparaten.
In tegenstelling, er zijn tientallen Android Oem ‘ s maken van hun eigen devices op verschillende hardware specs, en de meeste van de huidige Android-apparaten zijn hopeloos verouderd, zoals mobiele providers en toestel fabrikanten hebben bij het inleveren van over-the-air (OTA) beveiligingsupdates in de tijdige manieren voor jaren.
Bekrar legt verder uit hoe dit landschap en de echtheidskenmerken van de twee besturingssystemen heeft een rol gespeeld in Zerodium het verhogen van de prijzen voor Android zero-day exploits.
“Tijdens de laatste paar maanden, we zien een toename in het aantal iOS-exploits, meestal Safari en iMessage kettingen, ontwikkeld en verkocht door onderzoekers van over de hele wereld,” de Zerodium CEO zei. “De zero-day markt is zo overspoeld door iOS exploits die we onlangs begonnen met het weigeren van sommige van hen.
“In de andere hand, Android beveiliging verbeteren met elke nieuwe release van het OS dankzij de security teams van Google en Samsung, dus het werd erg moeilijk en tijdrovend om te ontwikkelen volledige ketens van exploits voor Android en het is nog moeilijker om te ontwikkelen nul-klik exploits die geen interactie van de gebruiker,” voegde hij eraan toe.
“In overeenstemming met deze nieuwe technische uitdagingen in verband met Android veiligheid en onze waarnemingen van trends in de markt, wij geloven dat het tijd wordt voor het toewijzen van de hoogste premies voor Android exploits totdat Apple re-verbetert de beveiliging van iOS en versterking van de zwakste onderdelen die iMessage en Safari (Webkit en zandbak).”
Artikel bijgewerkt op 3 September, om 14:10 ET, met opmerkingen van de Zerodium CEO.
Veiligheid
Android Google Play-app met 100 miljoen downloads begint te leveren malware
Microsoft: het Gebruik van multi-factor authenticatie blokken 99,9% van de account hacks
Een nieuwe IOT botnet is het infecteren van Android-gebaseerde set-top boxes
Schande over SHA-2: Symantec flunks basic programmeren (ZDNet YouTube)
De beste DIY home security systems 2019 (CNET)
De grootste cybersecurity risico ‘ s in de financiële sector (TechRepublic)
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters