Sicherheitsforscher überschwemmen den Markt mit iOS-Exploits
Foto: Zerodium
Einer der größten Käufer von iOS Zero-Day-Exploits sagt, dass der Markt aufgrund geschwächter Sicherheitskomponenten in Safari und iMessage mit neuen iPhone-Bugs überschwemmt wird.
Zerodium, das 2 Millionen US-Dollar für iOS-Exploits zahlt, hat kürzlich angekündigt, seine Auszahlung für Android-Exploits auf 2,5 Millionen US-Dollar zu erhöhen. iOS war früher das am stärksten gesperrte mobile Betriebssystem, aber das Unternehmen sagt, die Sicherheit von Android hat sich mit jeder neuen Betriebssystemversion verbessert, während iOS nachgelassen hat, was zu einer Flut neuer ausbeutet.
„Der Zero-Day-Markt wird von iOS-Exploits, hauptsächlich Safari- und iMessage-Ketten, überschwemmt, hauptsächlich aufgrund [von] einer Menge der Sicherheitsforscher haben ihren Fokus auf die Vollzeit-Ausnutzung von iOS gelegt“, sagte Zerodium-Gründer Chaouki Bekrar im Online-Chat
. „Sie haben die iOS-Sicherheit und -Maßnahmen absolut zerstört. Es gibt so viele iOS-Exploits, dass wir einige davon ablehnen.“Ein anderer Exploit-Broker, Crowdfense, sagte Vize dass Sicherheitsforscher versuchen, mit iOS-Exploits Geld zu machen, aber viele von ihnen liefern nicht das „richtige“ Sachen.“ Zero-Click-Exploits – solche, die ein iPhone hacken können, ohne dass der Benutzer etwas berührt – sind am gefragtesten nach. Andere Exploits, bei denen der Benutzer auf einen Link klicken muss, sind immer noch wertvoll, zahlen sich jedoch nicht so stark aus.
Apple hat letzten Monat angekündigt, sein Bug-Bounty-Programm auf alle seine Software-Plattformen auszuweiten. Der iPhone-Hersteller zahlt 1 Million US-Dollar für Zero-Day-Exploits aus, die größte Auszahlung eines großen Technologieunternehmens Unternehmen, aber immer noch weit unter dem, was ein Sicherheitsforscher machen kann, wenn er einen Exploit an Zerodium verkauft oder Crowdfense.
Einer der Gründe, warum iOS die leichter zu hackende Software geworden ist, ist die Fragmentierung von Android. Ein Exploit, der auf einer Android-Version funktioniert, funktioniert möglicherweise nicht auf verschiedenen Mobilteilen. Da die Mehrheit der iOS-Geräte alle unter iOS 12 läuft, wird ein Exploit auf zig Millionen iOS-Geräten funktionieren.
