Kekenyangan iOS 0-hari mendorong harga di bawah ini biaya untuk Sebuah droid

Ilustrasi tagihan $ 100 dolar yang disedot ke jaringan broadband.Perbesar Gambar Kecil | Aurich Lawson

Untuk pertama kalinya, broker eksploitasi keamanan Zerodium membayar harga yang lebih tinggi untuk serangan zero-day yang menargetkan Android daripada ia membayar untuk serangan sebanding yang menargetkan iOS.

Daftar harga terbaru yang diterbitkan Selasa menunjukkan Zerodium sekarang bayar $ 2,5 juta masing-masing untuk “rantai penuh (Nol-Klik) dengan persistence ”Android zero-days dibandingkan dengan $ 2 juta untuk iOS nol hari yang memenuhi kriteria yang sama. Program sebelumnya tinjauan umum menawarkan $ 2 juta untuk eksploitasi iOS yang tidak dipublikasikan tetapi dibuat tidak ada referensi sama sekali tentang eksploitasi untuk Android. Pendiri Zerodium dan CEO Chaouki Bekrar mengatakan kepada Ars broker membayar pada “kasus per kasus dasar tergantung pada rantai ”untuk eksploitasi Android.

“Dibanjiri oleh eksploitasi iOS”

Bekrar mengatakan kepada Ars bahwa langkah itu didorong oleh kelebihan iOS yang berfungsi mengeksploitasi rantai yang bertepatan dengan meningkatnya kesulitan menemukan exploit yang sebanding untuk Android versi 8 dan 9. Di sebuah pesan, Bekrar menulis:

Selama beberapa bulan terakhir, kami telah mengamati peningkatan sejumlah eksploitasi iOS, sebagian besar Safari dan rantai iMessage, sedang dikembangkan dan dijual oleh para peneliti dari seluruh dunia. Itu pasar zero-day begitu dibanjiri oleh eksploitasi iOS yang baru-baru ini kami miliki mulai menolak beberapa dari mereka.

Di sisi lain, keamanan Android semakin baik dengan yang baru rilis OS berkat tim keamanan Google dan Samsung, jadi menjadi sangat sulit dan memakan waktu untuk berkembang penuh rantai eksploitasi untuk Android dan bahkan lebih sulit untuk mengembangkan nol eksploitasi klik tidak memerlukan interaksi pengguna.

Sesuai dengan tantangan teknis baru yang terkait dengan Kami percaya bahwa keamanan Android dan pengamatan kami terhadap tren pasar saat itu telah tiba untuk mengalokasikan hadiah tertinggi untuk Android mengeksploitasi sampai Apple meningkatkan kembali keamanan iOS dan memperkuat bagian terlemahnya yaitu iMessage dan Safari (Webkit dan kotak pasir).

Sistem operasi modern mengandung berbagai keamanan perlindungan yang biasanya membutuhkan penyerang untuk menggabungkan dua atau lebih mengeksploitasi dalam rantai serangan, dengan masing-masing tautan menangani yang berbeda aplikasi atau pertahanan. Eksploitasi tanpa klik adalah yang tidak memerlukan interaksi apa pun di pihak pengguna akhir. Anmengeksploitasi yang datang dalam pesan teks dan memungkinkan penyerang untuk mengambil kendali perangkat adalah contohnya. Eksploitasi satu klik, oleh Sebaliknya, mengharuskan pengguna akhir untuk mengambil tindakan minimal, seperti mengunjungi situs web jebakan.

Panggilan bangun

Bacaan lebih lanjut

Dipersenjatai dengan iOS 0days, peretas untuk iPhone terinfeksi secara tidak pandang bulu dua tahun. Perubahan harga datang empat hari setelah peneliti dari Project Zero Google melaporkan bahwa pengguna versi yang sepenuhnya ditambal iOS rentan terhadap iOS zero-days yang dieksploitasi di liar selama lebih dari dua tahun. Serangan terhadap 14 terpisah kerentanan dikemas ke dalam lima rantai eksploitasi terpisah yang memberi para penyerang kemampuan untuk berkompromi terkini perangkat.

Serangan itu dilakukan dari sekumpulan kecil yang diretas situs web yang menggunakan eksploitasi untuk menyerang setiap orang tanpa pandang bulu Perangkat iOS yang dikunjungi. Penyerang menggunakan eksploit untuk menginstal malware yang mencuri foto, email, kredensial masuk, langsung data lokasi, dan lainnya dari iPhone dan iPad. Project Zeropeneliti tidak mengidentifikasi situs web mana pun yang meng-host eksploitasi. Pada hari Senin, peneliti dari perusahaan keamanan Volexity mengidentifikasi 11 situs web yang melayani pengunjung Uyghur dan Turkistan Timur yang kemungkinan melayani eksploitasi iOS. Pos Volexity mengatakan salah satu dari situs-situs itu juga nampaknya memanfaatkan kerentanan Android itu berhenti bekerja pada 2017 dengan rilis Chrome 60.

Project Zero melaporkan bahwa situs web secara terbuka dan iOS dieksploitasi tanpa pandang bulu nol hari selama lebih dari dua tahun menantang banyak asumsi konvensional tentang keamanan peneliti membuat keamanan di OS mobile Apple. Sebelumnya, banyak yang menganggap rantai serangan nol-klik atau satu-klik yang berfungsi menentang versi terbaru iOS sangat mahal dan jarang terjadi digunakan hemat. Cara eksploitas digunakan secara sembarangan situs yang ditemukan oleh Project Zero menyarankan iOS yang tidak dipublikasikan serangan sangat banyak, meskipun dibutuhkan keahlian yang cukup untuk mengembangkannya.

“Set nol hari terakhir yang memengaruhi platform Apple diumumkan oleh Project Zero Google sedikit panggilan bangun menghancurkan pandangan kita tentang ekosistem iOS dan keamanannya, ”Jérôme Segura, direktur intelijen ancaman di penyedia antivirus Malwarebytes, kata Ars. “Meskipun benar bahwa Apple mengontrol perangkat keras dan pembaruan OS diadopsi dengan cepat, kita lihat bukti bahwa penyerang yang ditentukan mampu mem-bypass keamanan iOS mekanisme lebih dari di masa lalu. ”

Pembaruan Zerodium mengatakan harga $ 2,5 juta berlaku untuk Android versi 8 dan 9. Pembaruan tidak membuat referensi ke Android 10, yang dirilis pada hari Selasa, tetapi Bekrar mengatakan kepada Ars bahwa versi itu tertutup juga. Sementara Zerodium membayar $ 2,5 juta dan $ 2 juta untuk rantai eksploitasi nol-klik untuk Android dan iOS, masing-masing, harga teratas untuk eksploitasi yang menargetkan desktop yang sebanding OS mencapai $ 1 juta.

“Pengguna ponsel tidak perlu khawatir karena keamanan keseluruhan perangkat seluler saat ini jauh lebih baik daripada laptop atau komputer, “kata Bekrar.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: