appel
Apple iPhone, die draait op een propriëtaire, closed-source en zwaar vergrendelde versie van het mobiele iOS-besturingssysteem, is nu blijkbaar kwetsbaarder voor op afstand uitvoerbare beveiligings- en privacy-exploits dan Android. Voor de eerste keer, hacktechnieken die de verdediging van de iPhone op afstand kunnen verlammen zonder tussenkomst van de gebruiker kosten minder dan nodig om in te breken op een Android-smartphone.
De sterke overtuiging dat de beveiliging van Apple's iPhone of iOS ondoordringbaar is, zou kunnen worden geschokt, althans op korte termijn. Ondergrondse marktplaatsen die in het geheim verhandelen maar met succes misbruik maken van fouten en kwetsbaarheden in iOS, het besturingssysteem dat uitsluitend op Apple iPhones draait, lijken de veranderende perceptie te hebben aangegeven. Voor de eerste keer vraagt een geheime hacktool die op afstand de controle over een Android-smartphone kan overnemen zonder tussenkomst van de gebruiker, een hogere prijs dan zijn iPhone-equivalent.
Zerodium vermindert eerst en schort vervolgens het kopen van iOS-beveiligingsuitbuitingen op vanwege een overvloed aan gebreken?
Zerodium, dat zogenaamde zero-day exploits koopt en verkoopt die misbruik maken van geheime softwarekwetsbaarheden, heeft aangekondigd dat het de aanschaf van nieuwe iOS Local Privilege Escalation, Safari Remote Code Execution of sandbox-exploits tijdelijk heeft opgeschort voor de komende maanden. Bovendien publiceerde het bedrijf een bijgewerkte prijslijst voor de beveiligingsproblemen voor iOS- en Android-smartphone-besturingssystemen.
We zullen de komende 2 tot 3 maanden GEEN nieuwe Apple iOS LPE-, Safari RCE- of sandbox-ontsnappingen verwerven vanwege een groot aantal inzendingen met betrekking tot deze vectoren.
Prijzen voor iOS one-click chains (bijv. Via Safari) zonder persistentie zullen in de nabije toekomst waarschijnlijk dalen.
- Zerodium (@Zerodium) 13 mei 2020
De schorsing komt nadat het bedrijf naar verluidt een groot aantal inzendingen voor exploits binnen de Apple iOS begon te ontvangen. Het bedrijf beweerde dat het nog steeds iOS-one-click-ketens (bijvoorbeeld via Safari) accepteert zonder persistentie. De prijzen hiervoor zijn echter aanzienlijk verlaagd, en interessant is dat de prijzen voor iOS-beveiligingsfouten nu lager zijn dan die in Android OS.
iOS-beveiliging is verpest. Alleen PAC en niet-persistentie zorgen ervoor dat het niet naar nul gaat ... maar we zien dat veel exploits PAC omzeilen, en er zijn een paar persistentie-exploits (0 dagen) die met alle iPhones / iPads werken. Laten we hopen dat iOS 14 beter wordt. https://t.co/39Kd3OQwy1
- Chaouki Bekrar (@cBekrar) 13 mei 2020
Chaouki Bekrar, CEO van Zerodium, had een vrij sterke woordkeuze om de huidige staat van iOS-beveiliging te beschrijven. Hij beweerde dat alleen Pointer Authentication Code en niet-persistentie-exploits de iOS-beveiliging overeind houden. Hij beweerde bovendien dat er nog steeds genoeg exploits in deze categorieën zijn. Onnodig toe te voegen, dergelijke claims zouden zorgwekkend moeten zijn voor Apple, die trots is op de zeer ondoordringbare beveiligingslagen binnen iOS.
Zerodium komt op de prijslijst van beveiligingsproblemen en biedt nu tot $ 2,5 miljoen voor een hacktechniek zonder klikken die een Android-telefoon volledig en geruisloos overneemt zonder interactie van de beoogde gebruiker. In eenvoudige bewoordingen, elke exploit die geen gebruikersinteractie vereist binnen een Android OS commando's de hoge prijs. Dit komt overigens nog zelden voor. Maar toch vergelijkbare kwetsbaarheid binnen een Apple iOS heeft een prijs die $ 500.000 lager is dan die van Android.
[Image Credit: Zerodium via Wired]
Over het veranderende scenario zei Chaouki Bekrar, de oprichter van Zerodium: “In de afgelopen maanden hebben we een toename waargenomen in het aantal iOS-exploits, voornamelijk Safari- en iMessage-ketens, die worden ontwikkeld en verkocht door onderzoekers van over de hele wereld. De zero-day-markt wordt zo overspoeld door iOS-exploits dat we er onlangs een aantal hebben geweigerd. Android-beveiliging verbetert met elke nieuwe release van het besturingssysteem dankzij de beveiligingsteams van Google en Samsung, dus het werd erg moeilijk en tijdrovend om volledige ketens van exploits voor Android te ontwikkelen en het is nog moeilijker om zero-click-exploits te ontwikkelen die niet vereist zijn elke gebruikersinteractie. 'Is Apple iOS voor iPhones minder veilig dan Android?
Het is nogal vreemd om te zien dat de aanbiedingsprijs voor beveiligingsexploitaties binnen Apple iOS een lagere prijs heeft dan die binnen Android OS. Bovendien is het ook een feit dat Android, ondersteund door Google en grotendeels wordt aangedreven door de services van het bedrijf, heeft aanzienlijk verbeterd in de afgelopen paar iteraties . Android is nu veel veiliger dan voorheen. Bovendien verbetert Google voortdurend de beveiliging met algoritmen die worden getraind door AI en gegevens.
Twee zero-day-fouten in iOS Mail bedreigen miljarden iPhone en iPad #Kwetsbaarheid #Fout #Aanval #Appel #iOS #Mail https://t.co/4N26K5yDcv
- CybSploit (@cybsploit) 12 mei 2020
Apple's iOS wordt nog steeds als zeer veilig beschouwd. Het bedrijf heeft een rigoureus doorlichtingsproces voor zijn samengestelde Apple App Store. Daarom houden experts vol dat de beweringen van Zerodium's overdreven zouden kunnen zijn. Ze geven aan dat hackers, kwaadwillende codeschrijvers en anderen mogelijk opnieuw focussen op Apple's iOS. Bovendien hebben hackers met de huidige situatie mogelijk meer tijd om harder te proberen door te dringen in iOS-beveiliging.
Tags appel
