ЕнларгеГетти Имагес | Аурицх Лавсон
Први пут до сада, посредник компаније Зеродиум је сигурносни експлоататор плаћање више цене за нулане нападе који циљају Андроид од плаћа за упоредиве нападе који циљају иОС.
Ажурирани цјеновник објављен у уторак показује да ће Зеродиум сада бити платите 2,5 милиона долара по комаду за “цео ланац (Зеро-Цлицк)” постојаност “Андроид нула дана у поређењу са 2 милиона долара за иОС нула дана који испуњавају исте критеријуме. Претходни програм преглед је понудио два милиона долара за необјављене подвиге иОС-а, али направљен никаква референца на подвиге за Андроид. Оснивач Зеродија и извршни директор Цхаоуки Бекрар рекао је за Арс брокера који су плаћали „од случаја до случаја основа у зависности од ланца “за Андроид експлоатације.
“Преплављени иОС експлоати”
Бекрар је за Арс рекао да је тај потез подстакао гомила радних иОС-а искориштавати ланце који се подударају са растућом тешкоћом проналажење упоредивих експлоатација за верзије 8 и 9 Андроида. У а порука, Бекрар је написао:
Током последњих неколико месеци приметили смо пораст броја број иОС експлоатација, углавном Сафари и иМессаге ланаца који су развили и продали истраживачи из целог света. Тхе тржиште без дана је толико преплављено иОС експлоатацијама које смо имали недавно почео одбијати неке од њих.
Са друге стране, безбедност Андроида се побољшава са сваким новим издање ОС-а захваљујући безбедносним тимовима компаније Гоогле и Самсунг, тако да је постало веома напорно и дуготрајно да се развијемо у потпуности ланаца искориштавања за Андроид и још је теже развити нулу цлицк екплоитс не захтева никакву интеракцију корисника.
У складу са овим новим техничким изазовима који се односе на Сигурност Андроид-а и наша запажања о тржишним трендовима, верујемо дошло је време да доделите највише користи Андроид-у користи док Аппле поново не побољша сигурност иОС-а и јача своје најслабије дијелове који су иМессаге и Сафари (Вебкит и песковник).
Савремени оперативни системи садрже разноврсну сигурност заштите које обично захтевају од нападача да комбинују два или више искориштава у ланцу напада, при чему се свака веза бави другачијим захтев или одбрана. Искориштавања без клика су она која немају захтевају било какву интеракцију крајњег корисника. Ан експлоатација која стиже у текстуалној поруци и омогућава нападачу да пример за преузимање уређаја је пример. Искорисник једним кликом, аутор насупрот томе, захтева крајњи корисник да предузме минималне акције, као што су посету веб странице
Позив за буђење
Додатна литература
Наоружани иОС 0даис, хакери за неселективно заражене иПхоне уређаје две годинеПромена цене долази четири дана након што су истраживачи стигли Гоогле-ов Пројецт Зеро известио је да су корисници потпуно закрпљених верзија иОС-а били су рањиви на иОС-ове нулте дане који су искоришћени у дивљи више од две године. Напади против 14 одвојени рањивости су спаковане у пет засебних ланаца експлоатације што је нападачима дало могућност да праве компромисе до сувремености уређаји.
Напади су изведени из малене хакерске збирке веб странице које су искориштавале неселективно да нападну свакога иОС уређај који је посетио. Нападачи су користили подвиге за постављање злонамерни софтвер који је крао фотографије, е-пошту, акредитиве за пријаву, уживо подаци о локацији и још много тога са иПхонеа и иПада. Пројецт Зеро истраживачи нису идентификовали ниједну веб локацију која је била домаћин експлоатише. У понедељак су истраживачи сигурносне фирме Волекити идентификовано је 11 веб локација које посећују посетиоце Уигхур и Еаст Туркистан који су вероватно послужили подвизима иОС-а. Волекити пост рекао је један од изгледало је да се сајтови искориштавају Андроид рањивост која престао је да ради 2017. године са издавањем Цхроме 60-а.
Пројецт Зеро извештава да се веб странице отворено и безумно искориштавали иОС-ове нулте дане више од две године оспорио је многе од конвенционалних претпоставки неку сигурност истраживачи су се бавили сигурношћу Аппле-овог мобилног оперативног система. Раније многи су претпоставили да су ланци напада са нултим кликом или једним кликом дјеловали против најновије верзије иОС-а били су толико скупи и ретки да су коришћени су умерено. Несретни начин на који су искориштавани подвизи сајтови које је открио Пројецт Зеро сугерирали су необјављени иОС напади су били обилни, упркос значајној експертизи да их развијају.
„Најновији сет нулте дана који утиче на Аппле-ову платформу који је најавио Гоогле-ов Пројецт Зеро били су помало будни позиви уништавајући наше погледе на иОС екосистем и његову сигурност, “Јероме Сегура, директор обавештајне службе о претњама код антивирусног провајдера Малваребитес-у, рекао је за Арс. „Иако је истина да Аппле контролише хардвер и да се ажурирања за ОС брзо усвајају, видимо доказ да одлучни нападачи могу да заобиђу сигурност иОС-а механизми више него раније. ”
У ажурирању компаније Зеродиум наведено је да је цена од 2,5 милиона долара примењена на Андроид верзије 8 и 9. Ажурирање се не односи на Андроид 10, који пуштен је у уторак, али је Бекрар за Арс рекао да је таква верзија такође покривено. Док Зеродиум плаћа 2,5 милиона и 2 долара милион за експлоатационе ланце са нултим кликом за Андроид и иОС, односно, највиша цена за упоредиве експлоатације које циљају десктоп ОС-ови имају највише милион долара.
„Корисници мобилних уређаја не би требало да буду забринути као укупна безбедност мобилни уређаји су у данашње време много бољи него било који лаптоп или компјутер “, рекао је Бекрар.
