Apple
Apple iPhone, mis töötab varjatud, suletud lähtekoodiga ja tugevalt lukustatud iOS-i mobiilse operatsioonisüsteemi versiooniga, on nüüd kaugelt käivitatavate turva- ja privaatsuskasutuste suhtes ilmselt haavatavam kui Android. Esimest korda, häkkimistehnikad, mis võivad iPhone'i kaitset eemalt halvata ilma kasutaja sekkumiseta maksavad vähem kui need, mis on vajalikud Androidi nutitelefoni sissemurdmiseks.
Tugevat veendumust, et Apple'i iPhone'i või iOSi turvalisus on läbimatu, võib vähemalt lühiajaliselt raputada. Maa-alused turud, mis kauplevad salajaste, kuid edukalt kasutatavate vigade ja haavatavustega iOS-is, OS-is, mis töötab ainult Apple iPhone'ides, näib osutavat muutuvale arusaamale. Esimest korda käsib mis tahes salajane häkkimistööriist, mis võimaldab Androidi nutitelefoni kaugjuhtimise kätte saada ilma kasutaja sekkumiseta, kõrgem hind kui tema iPhone'i ekvivalent.
Zerodium vähendab kõigepealt iOS-i turvakasutuse ostmist puuduste rohkuse tõttu?
Zerodium, kes ostab ja müüb nn nullipäevaseid ärakasutusi, mis kasutavad ära salajast tarkvara haavatavust, teatas, et on ajutiselt peatanud järgmise paari kuu jooksul uue iOS-i kohaliku privileegi eskalatsiooni, Safari kaugkoodide täitmise või liivakasti ärakasutamise. Lisaks avaldas ettevõte iOS-i ja Android-nutitelefoni OS-i turvaaukude ajakohastatud hinnakirja.
Nende vektoritega seotud suure hulga esituste tõttu EI OLE järgmise 2–3 kuu jooksul omandamas ühtegi uut Apple iOS LPE, Safari RCE ega liivakasti põgenemist.
IOS-i ühe klõpsuga kettide (nt Safari kaudu) püsivuseta hinnad lähitulevikus tõenäoliselt langevad.
- Zerodium (@Zerodium) 13. mai 2020
Peatamine toimub pärast seda, kui väidetavalt hakkas ettevõte saama Apple iOS-is palju arvukalt kasutusi. Ettevõte väitis, et aktsepteerib endiselt iOS-i ühe klõpsuga kette (nt Safari kaudu) ilma püsivuseta. Kuid sama toote hindu on oluliselt vähendatud ja huvitaval kombel on iOS-i turvavigade hinnad nüüd alla Android OS-i.
iOS-i turvalisus on nikutud. Ainult PAC ja mittepüsivus hoiavad seda nulli minemast ... kuid näeme, et paljud ekspluateerimised on PAC-ist mööda minemas ja kõigi iPhone'ide / iPadidega töötab üksikuid püsivusi (0 päeva). Loodame, et iOS 14 on parem. https://t.co/39Kd3OQwy1
- Chaouki Bekrar (@cBekrar) 13. mai 2020
Zerodiumi tegevjuhil Chaouki Bekraril oli iOS-i turvalisuse praeguse olukorra kirjeldamiseks üsna tugev sõnavalik. Ta väitis, et ainult Pointer Authentication Code ja mittepüsiv ekspluateerimine hoiavad iOS-i turvalisust pinnal. Lisaks väitis ta, et nendes kategooriates on endiselt piisavalt ekspluateerimisi. Pole vaja lisada, et sellised väited peaksid puudutama Apple'i, kes on uhke iOS-i väga läbimatu turvakihi üle.
Tulles turvanõrkuste hinnakirjale, pakub Zerodium nüüd kuni 2,5 miljonit dollarit nullklõpsamise häkkimistehnika eest, mis võtab Android-telefoni täielikult ja vaikselt üle ilma sihtkasutaja suhtluseta. Lihtsamalt öeldes igasugune ärakasutamine, mis ei nõua kasutajaga suhtlemist Android OS-i piires käsutab kõrget hinda. Muide, see on endiselt haruldane nähtus. Ikka ükskõik sarnane haavatavus Apple iOS-is hind on 500 000 dollarit vähem kui Androidil.
[Pildikrediit: Zerodium traadiga]
Rääkides muutuvast stsenaariumist, kirjutas Zerodiumi asutaja Chaouki Bekrar: „Viimaste kuude jooksul oleme täheldanud kogu maailmas töötavate teadlaste poolt arendatavate ja müüdavate iOS-i kasutuste, peamiselt Safari ja iMessage kettide arvu kasvu. Nullpäeva turg on iOS-i ärakasutamisest nii üle ujutatud, et oleme hiljuti hakanud neist mõnest keelduma. Tänu Google'i ja Samsungi turvameeskondadele paraneb Androidi turvalisus iga uue operatsioonisüsteemi väljalaskega, mistõttu Androidi täielike ahelate väljatöötamine muutus väga keeruliseks ja aeganõudvaks ning veelgi keerulisem on luua nullklõpsuga ekspluateid, mis ei nõua igasugune kasutajate suhtlus. 'Kas Apple iOS iPhone'idele on vähem turvaline kui Android?
On üsna kummaline näha Apple iOS-i turvalisuse ärakasutamise pakkumishinda, mis määrab madalama hinna kui Android OS-is. Veelgi enam, on ka fakt, et Androidil, mida toetab Google ja suuresti juhivad ettevõtte teenused, on seda paranes märkimisväärselt viimastel kordustel . Android on nüüd palju turvalisem kui varem. Lisaks täiustab Google pidevalt turvalisust tehisintellekti ja andmetega koolitatavate algoritmidega.
Kaks nullipäeva viga iOS Mailis ohustavad miljardeid iPhone'i ja iPadi # Haavatavus #Viga # Rünnak #Õun #iOS #Mail https://t.co/4N26K5yDcv
- CybSploit (@cybsploit) 12. mai 2020
Apple'i iOS-i peetakse endiselt väga turvaliseks. Ettevõttel on kureeritud Apple App Store'i suhtes range ülevaatusprotsess. Seetõttu nõuavad eksperdid, et Zerodium’i väited võivad olla liialdatud. Nad osutavad, et häkkerid, pahatahtlike koodide kirjutajad ja teised võivad keskenduda Apple'i iOS-ile. Pealegi võib häkkeritel praeguses olukorras olla rohkem aega, et proovida rohkem iOS-i turvalisusse tungida.
Sildid õun
