Apple
Apple iPhone, ktorý beží na proprietárnej, uzavretej a silne uzamknutej verzii mobilného operačného systému iOS, je teraz zjavne zraniteľnejší voči diaľkovo spustiteľným bezpečnostným útokom a zneužitiam súkromia ako Android. Prvýkrát, hackerské techniky, ktoré dokážu na diaľku ochromiť obranu iPhonu bez interakcie používateľa stojí menej ako tie, ktoré sú potrebné na preniknutie do smartfónu s Androidom.
Silná viera v to, že zabezpečenie Apple alebo iPhone je nepreniknuteľné, by mohla byť aspoň v krátkodobom horizonte otrasená. Zdá sa, že podzemné trhy, ktoré obchodujú s tajnými, ale úspešne zneužiteľnými chybami a zraniteľnými miestami v systéme iOS, operačnom systéme používanom výlučne na zariadeniach Apple iPhone, naznačujú meniace sa vnímanie. Prvýkrát je akýkoľvek tajný hackerský nástroj schopný na diaľku prevziať kontrolu nad inteligentným telefónom s Androidom bez interakcie používateľa s vyššou cenou ako jeho ekvivalent pre iPhone.
Zerodium najskôr znižuje a potom pozastavuje nákup bezpečnostných vyťažení systému iOS kvôli množstvu nedostatkov?
Spoločnosť Zerodium, ktorá kupuje a predáva takzvané exploity nulového dňa využívajúce výhody tajných softvérových zraniteľností, oznámila, že na najbližšie mesiace dočasne pozastavila nákup nových eskalácií miestneho privilégia pre iOS, vzdialeného vykonávania kódu Safari alebo zneužitia karantény. Spoločnosť navyše zverejnila aktualizovaný cenník bezpečnostných chýb pre operačné systémy iOS a Android.
Nasledujúce 2 až 3 mesiace NEBUDEME získavať žiadne nové úniky Apple iOS LPE, Safari RCE ani sandbox z dôvodu vysokého počtu podaní súvisiacich s týmito vektormi.
Ceny reťazcov s jedným kliknutím na iOS (napr. Cez Safari) bez vytrvalosti pravdepodobne v blízkej budúcnosti klesnú.
- Zerodium (@Zerodium) 13. mája 2020
Pozastavenie prichádza po tom, čo spoločnosť údajne začala dostávať vysoký počet podaní na zneužitie v rámci systému Apple iOS. Spoločnosť tvrdila, že bude naďalej prijímať reťazce na jedno kliknutie pre iOS (napr. Cez Safari) bez vytrvalosti. Ceny za to isté sa však výrazne znížili a zaujímavé je, že ceny za bezpečnostné chyby systému iOS teraz ležia nižšie ako ceny v rámci systému Android OS.
Zabezpečenie iOS je v prdeli. Iba PAC a neperzistencia mu bránia ísť na nulu ... ale vidíme, že mnoho exploitov obchádza PAC, a existuje niekoľko exploitov perzistencie (0 dní) fungujúcich so všetkými iPhonmi / iPadmi. Dúfajme, že iOS 14 bude lepší. https://t.co/39Kd3OQwy1
- Chaouki Bekrar (@cBekrar) 13. mája 2020
Generálny riaditeľ spoločnosti Zerodium Chaouki Bekrar mal dosť silný výber slov na opísanie súčasného stavu zabezpečenia systému iOS. Tvrdil, že iba iOS autentifikačný kód a neperzistencia využíva udržiavanie bezpečnosti iOS na hladine. Ďalej tvrdil, že v týchto kategóriách je stále dosť exploitov. Nie je potrebné dodávať, že takéto tvrdenia by sa mali týkať spoločnosti Apple, ktorá sa chváli vysoko nepreniknuteľnými bezpečnostnými vrstvami v systéme iOS.
Zerodium, ktoré prichádza na cenový zoznam zraniteľností zabezpečenia, teraz ponúka až 2,5 milióna dolárov za hackerskú techniku s nulovým kliknutím, ktorá úplne a ticho prevezme telefón s Androidom bez akejkoľvek interakcie od cieľového používateľa. Jednoduchými slovami akékoľvek zneužitie, ktoré nevyžaduje žiadnu interakciu používateľa v rámci OS Android vyžaduje vysokú cenu. Mimochodom, toto je stále zriedkavý jav. Napriek tomu akýkoľvek podobná zraniteľnosť v rámci systému Apple iOS má cenu, ktorá je o 500 000 dolárov nižšia ako Android.
[Image Credit: Zerodium via Wired]
Zakladateľ spoločnosti Zerodium Chaouki Bekrar, keď hovoril o meniacom sa scenári, napísal: „Počas posledných niekoľkých mesiacov sme zaznamenali nárast počtu využívaní iOS, hlavne reťazcov Safari a iMessage, ktoré vyvíjajú a predávajú vedci z celého sveta. Trh s nultým dňom je natoľko zaplavený exploitmi iOS, že sme nedávno začali niektoré z nich odmietať. Zabezpečenie systému Android sa vylepšuje s každou novou verziou operačného systému vďaka bezpečnostným tímom spoločností Google a Samsung, takže bolo veľmi ťažké a časovo náročné vyvinúť celé reťazce zneužitia pre Android a ešte ťažšie je vyvinúť zneužitia bez kliknutia, ktoré nevyžadujú akákoľvek interakcia používateľa. “Je Apple iOS pre iPhone menej bezpečný ako Android?
Je dosť zvláštne vidieť ponukovú cenu bezpečnostných útokov v systéme Apple iOS na nižšiu cenu ako v prípade operačného systému Android. Faktom tiež je, že Android podporovaný spoločnosťou Google a do veľkej miery poháňaný službami spoločnosti to má sa v posledných niekoľkých iteráciách výrazne zlepšili . Android je teraz oveľa bezpečnejší ako predtým. Google navyše neustále vylepšuje zabezpečenie pomocou algoritmov, ktoré sú trénované pomocou AI a dát.
Dve chyby nulového dňa v systéme iOS Mail ohrozujú miliardy iPhone a iPad # Zraniteľnosť # Flaw # Útok #Jablko #iOS # Mail https://t.co/4N26K5yDcv
- CybSploit (@cybsploit) 12. mája 2020
IOS spoločnosti Apple sa stále považuje za veľmi bezpečný. Spoločnosť prešla dôsledným procesom preverovania certifikovaného obchodu Apple App Store. Odborníci preto trvajú na tom, že tvrdenia spoločnosti Zerodium’s by mohli byť prehnané. Naznačujú, že hackeri, autori škodlivých kódov a ďalší by sa mohli znova zamerať na iOS spoločnosti Apple. Za súčasnej situácie navyše môžu mať hackeri viac času na to, aby sa viac snažili preniknúť do zabezpečenia systému iOS.
Značky jablko