首頁 科技正文

未發布的Android漏洞利用的最高價格達到250萬美元 比iOS高出2

科技 2019-09-04 09:46:27

有史以來第一次,安全漏洞利用經紀人Zerodium為針對Android的零日攻擊付出了更高的代價,而不是為針對iOS的類似攻擊付出的代價。

周二發布的最新價格表顯示,Zerodium現在每人支付250萬美元用于“持續性”Android零日的“全鍊(零點擊)”,而符合相同标準的iOS零日則為200萬美元。在以前的計劃概述提供對未發表的iOS漏洞$ 2百萬,但在做所有的漏洞為Android沒有提及。Zerodium創始人兼首席執行官Chaouki Bekrar告訴Ars,經紀人為Android漏洞利用“依賴于鍊條的個案”付款。

“被iOS漏洞淹沒”

Bekrar告訴Ars,這一舉動是由于大量工作的iOS漏洞利用鍊同時發現難以找到Android版本8和9的類似漏洞。在一條消息中,Bekrar寫道:

在過去幾個月中,我們觀察到來自世界各地的研究人員開發和銷售的iOS漏洞數量增加,主要是Safari和iMessage鍊。我們最近開始拒絕其中的一些iOS漏洞,因此零日市場充斥着這些漏洞。

另一方面,由于谷歌和三星的安全團隊,每次發布新操作系統都會提高Android安全性,因此開發完整的Android攻擊鍊變得非常困難和耗時,開發零點擊更加困難漏洞不需要任何用戶交互。

根據與Android安全相關的這些新技術挑戰以及我們對市場趨勢的觀察,我們認為現在是時候将最高獎勵分配給Android漏洞,直到Apple重新提升iOS的安全性并加強其最薄弱的部分,即iMessage和Safari(Webkit和沙箱)。

現代操作系統包含各種安全保護,通常要求攻擊者在攻擊鍊中組合兩個或多個漏洞,每個鍊接處理不同的應用程序或防禦。零點擊攻擊是最終用戶不需要任何交互的攻擊。例如,在文本消息中到達并允許攻擊者控制設備的漏洞利用就是一個例子。相比之下,一鍵式攻擊需要最終用戶采取最小的行動,例如訪問陷阱網站。

在iOS 0days的武裝下,黑客不分青紅皂白地感染了iPhone兩年

谷歌Project Zero的研究人員報告說,完全修補版本的iOS的用戶很容易受到在零野外開發超過兩年的iOS零日攻擊,價格發生變化。對14個獨立漏洞的攻擊被打包成五個獨立的漏洞利用鍊,使攻擊者能夠破壞最新的設備。

這些攻擊是從一小部分被黑網站發起的,這些網站利用這些漏洞不分青紅皂白地攻擊每一個訪問過的iOS設備。攻擊者利用這些漏洞安裝惡意軟件,從iPhone和iPad竊取照片,電子郵件,登錄憑據,實時位置數據等。Project Zero的研究人員沒有發現任何托管這些漏洞的網站。周一,來自安全公司Volexity的研究人員發現了11個網站,為維吾爾和東突厥斯坦的訪客提供服務,這些網站可能為iOS提供服務。Volexity的帖子稱,其中一個網站似乎也利用了一個Android漏洞,該漏洞在2017年随着Chrome 60的發布而停止工作。

Project Zero報告稱,網站公開和不分青紅皂白地利用iOS零天來兩年多的時間挑戰了一些安全研究人員對Apple移動操作系統安全性所做的許多傳統假設。以前,許多人假設零點擊或一鍵攻擊鍊對最新版本的iOS起作用是如此昂貴和罕見,以至于他們被謹慎使用。在零點項目發現的網站上使用漏洞的随意方式表明,盡管開發它們需要相當多的專業知識,但未發表的iOS攻擊仍然很多。

“反對谷歌Project Zero公布的蘋果平台的最新零天影響了一些警告,打破了我們對iOS生态系統及其安全性的看法,”反病毒提供商Malwarebytes的威脅情報主管JérômeSegura告訴Ars。“雖然Apple控制硬件并且操作系統更新很快被采用,但我們看到的證據表明,确定的攻擊者能夠比過去更多地繞過iOS安全機制。”

Zerodium的更新稱,Android版本8和9的價格為250萬美元。該更新未提及周二發布的 Android 10 ,但Bekrar告訴Ars該版本也已被覆蓋。雖然Zerodium分别為Android和iOS支付250萬美元和200萬美元的零點擊漏洞利用鍊,但針對桌面操作系統的可比漏洞利用的最高價格最高可達100萬美元。

“移動用戶不應該擔心,因為移動設備的整體安全性現在比任何筆記本電腦或計算機都要好得多,”Bekrar說。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息标記有誤,請第一時間聯系我們修改或删除,多謝。