תפוח עץ
אפל אייפון, המופעלת על גרסת קניין מקורית וסגורה מאוד של מערכת ההפעלה הניידת iOS, ככל הנראה חשופה יותר לניצולי אבטחה ופרטיות להפעלה מרחוק מאשר אנדרואיד. בפעם הראשונה, טכניקות פריצה שיכולות לשבש מרחוק את ההגנות של אייפון ללא אינטראקציה של המשתמש עולים פחות מאלה הנדרשים לפרוץ לטלפון חכם אנדרואיד.
האמונה החזקה שהאבטחה של אייפון או iOS של אפל אינה ניתנת לחדירה, עלולה להתערער, לפחות בטווח הקצר. נראה כי שווקים מחתרתיים הנסחרים בפגמים ובפגיעות חשאיות בסתר אך מנוצלים בהצלחה ב- iOS, מערכת ההפעלה הפועלת אך ורק במכשירי אפל של אפל, הצביעו על התפיסה המשתנה. לראשונה, כל כלי פריצה סודי המסוגל להשתלט מרחוק על סמארטפון אנדרואיד ללא אינטראקציה עם המשתמש מחייב מחיר גבוה יותר מהמקבילה שלו לאייפון.
זירודיום מפחיתה תחילה ואז מפסיקה לקנות מיצוי אבטחה של iOS עקב שפע פגמים?
זירודיום, הקונה ומכירה מה שמכונה ניצולי אפס יום המנצלים את פרצות התוכנה הסודיות, הודיעה כי השעתה באופן זמני את רכישת הסלמת הרשאות מקומיות חדשות של iOS, ביצוע קוד מרחוק של ספארי או ניצולי ארגזי חול, בחודשים הקרובים. בנוסף, החברה פרסמה מחירון מעודכן לפגיעות האבטחה עבור מערכת ההפעלה של iOS ו- Android.
אנו לא נרכוש שום בריחה חדשה של Apple iOS LPE, Safari RCE או ארגז חול למשך 2 עד 3 החודשים הבאים עקב מספר גבוה של הגשות הקשורות לווקטורים אלה.
המחירים לרשתות בלחיצה אחת ב- iOS (למשל דרך Safari) ללא התמדה יירדו ככל הנראה בתקופה הקרובה.
- זירודיום (@ זירודיום) 13 במאי 2020
ההשעיה מגיעה לאחר שלפי הדיווחים החברה החלה לקבל מספר רב של הגשות למנצלים ב- Apple iOS. החברה טענה שהיא עדיין תקבל רשתות בלחיצה אחת ב- iOS (למשל דרך Safari) ללא התמדה. עם זאת, המחירים עבור אותו הופחתו באופן משמעותי, ומעניין כי המחירים של פגמי האבטחה של iOS נמצאים כעת מתחת למחירי מערכת ההפעלה של Android.
אבטחת iOS דפוקה. רק PAC ואי התמדה מחזיקים אותו מאפס ... אבל אנו רואים מעללים רבים שעוקפים את PAC, ויש כמה ניצולי התמדה (0 ימים) שעובדים עם כל מכשירי האייפון / אייפד. נקווה ש- iOS 14 יהיה טוב יותר. https://t.co/39Kd3OQwy1
- Chaouki Bekrar (@cBekrar) 13 במאי 2020
למנכ'ל זרודיום צ'אוקי בקרר הייתה בחירה די חזקה של מילים לתאר את המצב הנוכחי של אבטחת iOS. הוא טען שרק קוד אימות פוינטר ומעללי אי-התמדה שומרים על אבטחת iOS. בנוסף הוא טען שיש עדיין מספיק מעללים בקטגוריות אלה. מיותר להוסיף, טענות כאלה צריכות להיות נוגעות לאפל המתגאה בשכבות האבטחה הבלתי חדירות ביותר ב- iOS.
בהגיע לרשימת התמחור של נקודות תורפה באבטחה, זירודיום מציעה כעת עד 2.5 מיליון דולר עבור טכניקת פריצה של לחיצת אפס, המשתלטת באופן מלא ושקט על טלפון אנדרואיד ללא אינטראקציה מצד משתמש היעד. במילים פשוטות, כל ניצול שאינו דורש שום אינטראקציה של המשתמש בתוך מערכת הפעלה אנדרואיד פוקד את המחיר הגבוה. אגב, זה עדיין אירוע נדיר. ובכל זאת, כל אחד פגיעות דומה בתוך אפל iOS יש מחיר של 500,000 דולר פחות מאנדרואיד.
[אשראי תמונה: זירודיום דרך קווית]
בהתייחס לתרחיש המשתנה, מייסד זרודיום, צ'אוקי בקרר, כתב: 'במהלך החודשים האחרונים ראינו עלייה במספר המכשירים של iOS, בעיקר רשתות Safari ו- iMessage, שפותחים ונמכרים על ידי חוקרים מכל רחבי העולם. שוק האפס יום מוצף כל כך במעללי iOS, שהתחלנו לאחרונה לסרב לחלקם. אבטחת אנדרואיד משתפרת עם כל מהדורה חדשה של מערכת ההפעלה הודות לצוותי האבטחה של גוגל וסמסונג, כך שהיה קשה מאוד וגוזל זמן לפתח רשתות מלאות של ניצולים עבור אנדרואיד וקשה עוד יותר לפתח ניצולי קליק אפס שלא דורשים כל אינטראקציה של המשתמש. 'האם Apple iOS עבור מכשירי iPhone פחות מאובטח מ- Android?
זה די מוזר לראות את מחיר ההצעה עבור ניצולי אבטחה בתוך אפל iOS המחיר מחיר נמוך יותר מזה של מערכות ההפעלה של Android. יתר על כן, זו גם עובדה שאנדרואיד, המגובה על ידי גוגל ובמידה רבה מונעת משירותי החברה, יש השתפר משמעותית בחזרות האחרונות . אנדרואיד עכשיו הרבה יותר בטוח מבעבר. בנוסף, גוגל משפרת כל העת את האבטחה בעזרת אלגוריתמים שעוברים הכשרה על ידי AI ונתונים.
שני ליקויים באפס יום ב- iOS Mail מאיימים על מיליארדי iPhone ו- iPad #פגיעות #פְּגָם #לִתְקוֹף #תפוח עץ #iOS #דוֹאַר https://t.co/4N26K5yDcv
- CybSploit (@cybsploit) 12 במאי 2020
IOS של אפל עדיין נחשב מאובטח מאוד. לחברה יש תהליך בדיקה קפדני בחנות האפליקציות של אפל. מכאן שמומחים מתעקשים כי ניתן להגזים בטענות של זירודיום. הם מצביעים על כך שהאקרים, כותבי קוד זדוני ואחרים עשויים להתמקד מחדש ב- iOS של אפל. יתר על כן, עם המצב הנוכחי, להאקרים יהיה יותר זמן להתאמץ יותר לחדור לאבטחת iOS.
תגים תפוח עץ
