未發(fā)布的Android漏洞利用的最高價(jià)格達(dá)到250萬(wàn)美元 比iOS高出2

有史以來(lái)第一次，安全漏洞利用經(jīng)紀(jì)人Zerodium為針對(duì)Android的零日攻擊付出了更高的代價(jià)，而不是為針對(duì)iOS的類似攻擊付出的代價(jià)。

周二發(fā)布的最新價(jià)格表顯示，Zerodium現(xiàn)在每人支付250萬(wàn)美元用于“持續(xù)性”Android零日的“全鏈(零點(diǎn)擊)”，而符合相同標(biāo)準(zhǔn)的iOS零日則為200萬(wàn)美元。在以前的計(jì)劃概述提供對(duì)未發(fā)表的iOS漏洞$ 2百萬(wàn)，但在做所有的漏洞為Android沒(méi)有提及。Zerodium創(chuàng)始人兼首席執(zhí)行官Chaouki Bekrar告訴Ars，經(jīng)紀(jì)人為Android漏洞利用“依賴于鏈條的個(gè)案”付款。

“被iOS漏洞淹沒(méi)”

Bekrar告訴Ars，這一舉動(dòng)是由于大量工作的iOS漏洞利用鏈同時(shí)發(fā)現(xiàn)難以找到Android版本8和9的類似漏洞。在一條消息中，Bekrar寫(xiě)道：

在過(guò)去幾個(gè)月中，我們觀察到來(lái)自世界各地的研究人員開(kāi)發(fā)和銷售的iOS漏洞數(shù)量增加，主要是Safari和iMessage鏈。我們最近開(kāi)始拒絕其中的一些iOS漏洞，因此零日市場(chǎng)充斥著這些漏洞。

另一方面，由于谷歌和三星的安全團(tuán)隊(duì)，每次發(fā)布新操作系統(tǒng)都會(huì)提高Android安全性，因此開(kāi)發(fā)完整的Android攻擊鏈變得非常困難和耗時(shí)，開(kāi)發(fā)零點(diǎn)擊更加困難漏洞不需要任何用戶交互。

根據(jù)與Android安全相關(guān)的這些新技術(shù)挑戰(zhàn)以及我們對(duì)市場(chǎng)趨勢(shì)的觀察，我們認(rèn)為現(xiàn)在是時(shí)候?qū)⒆罡擢?jiǎng)勵(lì)分配給Android漏洞，直到Apple重新提升iOS的安全性并加強(qiáng)其最薄弱的部分，即iMessage和Safari(Webkit和沙箱)。

現(xiàn)代操作系統(tǒng)包含各種安全保護(hù)，通常要求攻擊者在攻擊鏈中組合兩個(gè)或多個(gè)漏洞，每個(gè)鏈接處理不同的應(yīng)用程序或防御。零點(diǎn)擊攻擊是最終用戶不需要任何交互的攻擊。例如，在文本消息中到達(dá)并允許攻擊者控制設(shè)備的漏洞利用就是一個(gè)例子。相比之下，一鍵式攻擊需要最終用戶采取最小的行動(dòng)，例如訪問(wèn)陷阱網(wǎng)站。

在iOS 0days的武裝下，黑客不分青紅皂白地感染了iPhone兩年

谷歌Project Zero的研究人員報(bào)告說(shuō)，完全修補(bǔ)版本的iOS的用戶很容易受到在零野外開(kāi)發(fā)超過(guò)兩年的iOS零日攻擊，價(jià)格發(fā)生變化。對(duì)14個(gè)獨(dú)立漏洞的攻擊被打包成五個(gè)獨(dú)立的漏洞利用鏈，使攻擊者能夠破壞最新的設(shè)備。

這些攻擊是從一小部分被黑網(wǎng)站發(fā)起的，這些網(wǎng)站利用這些漏洞不分青紅皂白地攻擊每一個(gè)訪問(wèn)過(guò)的iOS設(shè)備。攻擊者利用這些漏洞安裝惡意軟件，從iPhone和iPad竊取照片，電子郵件，登錄憑據(jù)，實(shí)時(shí)位置數(shù)據(jù)等。Project Zero的研究人員沒(méi)有發(fā)現(xiàn)任何托管這些漏洞的網(wǎng)站。周一，來(lái)自安全公司Volexity的研究人員發(fā)現(xiàn)了11個(gè)網(wǎng)站，為維吾爾和東突厥斯坦的訪客提供服務(wù)，這些網(wǎng)站可能為iOS提供服務(wù)。Volexity的帖子稱，其中一個(gè)網(wǎng)站似乎也利用了一個(gè)Android漏洞，該漏洞在2017年隨著Chrome 60的發(fā)布而停止工作。

Project Zero報(bào)告稱，網(wǎng)站公開(kāi)和不分青紅皂白地利用iOS零天來(lái)兩年多的時(shí)間挑戰(zhàn)了一些安全研究人員對(duì)Apple移動(dòng)操作系統(tǒng)安全性所做的許多傳統(tǒng)假設(shè)。以前，許多人假設(shè)零點(diǎn)擊或一鍵攻擊鏈對(duì)最新版本的iOS起作用是如此昂貴和罕見(jiàn)，以至于他們被謹(jǐn)慎使用。在零點(diǎn)項(xiàng)目發(fā)現(xiàn)的網(wǎng)站上使用漏洞的隨意方式表明，盡管開(kāi)發(fā)它們需要相當(dāng)多的專業(yè)知識(shí)，但未發(fā)表的iOS攻擊仍然很多。

“反對(duì)谷歌Project Zero公布的蘋果平臺(tái)的最新零天影響了一些警告，打破了我們對(duì)iOS生態(tài)系統(tǒng)及其安全性的看法，”反病毒提供商Malwarebytes的威脅情報(bào)主管JérômeSegura告訴Ars。“雖然Apple控制硬件并且操作系統(tǒng)更新很快被采用，但我們看到的證據(jù)表明，確定的攻擊者能夠比過(guò)去更多地繞過(guò)iOS安全機(jī)制。”

Zerodium的更新稱，Android版本8和9的價(jià)格為250萬(wàn)美元。該更新未提及周二發(fā)布的 Android 10 ，但Bekrar告訴Ars該版本也已被覆蓋。雖然Zerodium分別為Android和iOS支付250萬(wàn)美元和200萬(wàn)美元的零點(diǎn)擊漏洞利用鏈，但針對(duì)桌面操作系統(tǒng)的可比漏洞利用的最高價(jià)格最高可達(dá)100萬(wàn)美元。

“移動(dòng)用戶不應(yīng)該擔(dān)心，因?yàn)橐苿?dòng)設(shè)備的整體安全性現(xiàn)在比任何筆記本電腦或計(jì)算機(jī)都要好得多，”Bekrar說(shuō)。