Nell’ultima settimana, abbiamo appreso di più su una serie di exploit di siti Web dannosi che ha colpito gli utenti iPhone per anni. Adesso, un nuovo rapporto di Vice approfondisce lo stato attuale del settore della sicurezza e come il numero di exploit iOS continua a crescere.
Zerodium, uno dei tanti “broker di vulnerabilità“, ha annunciato una nuova struttura di prezzi che valorizza gli exploit Android più di quelli iOS. Gli exploit Android che consentono “l’acquisizione completa” dei dispositivi senza richiedere che l’utente faccia clic su qualcosa vale ora $ 2,5 milioni, mentre la stessa vulnerabilità di iPhone vale $ 2 milioni.
Nel frattempo, Zerodium ha anche ridotto il valore di un exploit iOS da 1 clic da $ 1,5 milioni a $ 1 milione.
Chaouki Bekrar, fondatore di Zerodium, afferma che ciò è dovuto al fatto che il mercato zero-day viene “invaso” da exploit iOS:
“Il mercato zero-day è invaso da exploit iOS, principalmente di Safari e iMessage, a causa del fatto che molti ricercatori della sicurezza hanno focalizzato la loro attenzione su iOS a tempo pieno. Hanno assolutamente distrutto la sicurezza e le mitigazioni di iOS. Ci sono così tanti exploit iOS che stiamo iniziando a rifiutarne alcuni.”
Nel frattempo, per quanto riguarda Android, Bekar afferma che “è molto difficile e dispendioso in termini di tempo sviluppare catene complete di exploit Android“. Ha aggiunto che fino a quando Apple “non migliorerà la sicurezza dei componenti iOS come Safari e iMessage“, gli exploit Android più preziosi.
Crowdfense è un’altra società che acquista exploit zero-day con particolare attenzione alla vendita ai governi. Il direttore di Crowdfense, Andrea Zapparoli Manzoni, ha confermato che ora ci sono molti più exploit iOS rispetto ad Android, ma con un avvertimento:
“Esistono più catene iOS sul mercato, ma non tutte sono di” livello di intelligenza “, ha scritto in un’e-mail. “Molti ricercatori stanno cercando di ottenere i migliori pagamenti (come quelli che paghiamo), ma non tutti sono in grado di fornire le “cose giuste” “, ha scritto.
In questo caso, la frammentazione di Android è effettivamente utile, Zapparoli Manzoni ha dichiarato:
“Android è un paesaggio così frammentato che una” catena universale “è quasi impossibile da trovare; molto più difficile che su iOS, che è una “monocultura”. “
Naturalmente, la cosa importante da notare qui è che Crowdfense e Zerodium costituiscono solo una parte del mercato degli exploit, come osserva Vice. Ciò significa che potrebbero non raccontare l’intera storia.
Inoltre, la stessa Apple ha recentemente raddoppiato il proprio programma di bug bounty, annunciando pagamenti più alti e un nuovo programma iOS Security Research Device che vedrà distribuire iPhone pre-jailbreak ai ricercatori. Ciò segnala una rinnovata attenzione ai programmi di ricompensa di Apple e potrebbe finire per aiutare a contrastare ciò che stanno vedendo alcuni venditori di exploit.
Leggi o Aggiungi Commenti