Фирма Zerodium специализируется на покупке и перепродаже уязвимостей нулевого дня.
На днях площадка обновила свой прайс-лист как раз в дату официального релиза Android 10. Произошло любопытное изменение: на рынке перепродажи эксплойтов теперь больше ценятся «дыры» в Android, а не iOS, это случилось впервые в истории IT и ИБ. Основатель площадки объясняет это тем, что последних в последнее время стало слишком много.
Zerodium подняла цены на эксплоиты для Android. Теперь брокер готов выплатить до $2,5 млн за полную цепочку уязвимостей в Android, которая обеспечивает персистентность и не требует взаимодействия с пользователем. За аналогичный комплект эксплоитов для iOS цена ниже — всего $2 млн. Цену на эксплойты для веб-браузеров с атакой на iPhone за один клик даже уменьшили с $1,5 млн до $1 млн.
До этого эксплойты для iOS Zerodium ценила выше, а цены на них были максимальными.
В комментарии для Wired основатель компании Чаоки Бекрар объяснил логику таких действий. За последние несколько месяцев в Zerodium зафиксировали увеличение числа эксплойтов для iOS, в основном для цепочек Safari и iMessage. Рынок на данный момент переполнен уязвимостями iOS, утверждают в Zerodium. От покупки некоторых из них компания и вовсе начала отказываться. Конечных покупателей Zerodium теперь интересуют более сложные и изощренные эксплоиты для большого рынка пользователей с гаджетами на Android.
В другом своем сообщении Бекрар и вовсе хвалит улучшение состояние ИБ-инфраструктуры в Android. Безопасность устройств на Android улучшается с каждым обновлением, а разработка новых и сложных цепочек эксплоитов для ИБ-специалистов на Android становится все сложнее, а трудоемкость их поиска и успешной реализации очень высока.
Zerodium не заинтересована в разглашении и передачи купленных и подтвержденных ее специалистами обнаруженных уязвимостей и эксплоитов производителям устройств для их последующей нейтрализации. Бизнес Zerodium — это перепродажа эксплоитов, купленных по своему очень высокому прайс-листу. Причем покупателями могут быть другие компании, правительства и спецслужбы, а брокера не интересует конечная цель применения этих уязвимостей и эксплойтов.
Действительно, благодаря плодотворной работе подразделения кибербезопасности Google Project Zero и расширению программ Google Play Security Rewards Program (GPSRP) и Developer Data Protection Reward Program (DDPRP), данные пользователей устройств на Android оказываются защищены лучше, чем на iOS.
Маор Шварц, независимый исследователь уязвимостей в интервью для WIRED, подтвердил, что изменения на рынке уязвимостей соответствуют его собственным наблюдениям.
«В сегодняшней реальности большинство целей — это Android, а там уязвимостей становится все меньше и меньше, потому что многие из них уже были исправлены Google и другими компаниями-разработчиками», — заявил Шварц.
«Примерно с год назад, клиенты начали спрашивать меня, знаю ли я кого-нибудь, кто работает на Android и успешно ищет там уязвимости? Я начал понимать, что рынок меняется», — рассказал Шварц.
Комментарии (22)
Aingis
05.09.2019 09:58iOS: Apple выпускает обновления вскоре после того, как узнает об уязвимости. Обновится могут даже устройства пятилетней давности.
Android: Google постоянно обновляет ОС, но 90+% устройств никогда их не получит. Если устройству больше года, можете на них не рассчитывать. Впрочем даже на новые обновления не гарантированы. Производителям невыгодно поддерживать уже проданные устройства.
IgnisNoir
05.09.2019 11:14Ну такое. На АйОС два года висели многие уязвимости критичные. Но то что распространение лучше — огромный плюс
Kanut
05.09.2019 10:08Если устройству больше года, можете на них не рассчитывать.
Это вы загнули. Года на 2,5-3 обычно можно расчитывать. Вот потом становится совсем грустно. Ну или сразу уходить на какой-нибудь адекватный кастом.dmitry_bogachev
05.09.2019 10:28Соглашусь. Лучший рецепт — покупать Google Pixel. На мой первый пока все обновления прилетают, включая свежую версию ОС. Насколько я знаю, OnePlus имеет удлиненный цикл поддержки своих устройств.
CifraKot
05.09.2019 11:27К сожалению, это закончится в октябре текущего года, а вышедший релиз оставляет желать лучшего и возможно он и не будет исправлен к окончанию поддержки устройства.
Am0ralist
05.09.2019 10:45Нельзя, в чем и проблема. Можно только надеяться. Особенно убивает, что все разговоры гугла на эту тему (что отвяжут обновления безопасности от производителей) так и остались… разговорами.
dimm_ddr
05.09.2019 10:52Так вроде бы часть как раз в последнем обновлении отвязали и пустили через гугл плей. Там куча ограничений, но это уже не просто разговоры, это движение в правильном направлении.
Am0ralist
05.09.2019 11:04У меня 9-ка, P. в гуглоплее вижу обновки только для обычных программ. С мая месяца новых прошивок от Асуса не получал.
Разговор, что отвяжут, если не ошибаюсь, вели ещё про O. Ну тогда же, когда Самсунг клятвенно стал бить себя в грудь, что станет поддерживать больше и лучше. Все так активно про это твердили, что мне сразу стало понятно — можно особо не рассчитывать.
Итого: примерно с 4 версии ОС они так и не смогли реализовать подобное, хотя про о, что большая часть девайсов с андроидом вечноуязвимая активно говорят именно с 4 версии. И что единственный способ получить обновку от старых ошибок — это купить новый девайс, тоже говорят с тех времён…dimm_ddr
05.09.2019 11:51У меня 9-ка, P. в гуглоплее вижу обновки только для обычных программ. С мая месяца новых прошивок от Асуса не получал.
Эта фича появилась только в 10ке, которая пока что вышла только на пиксели насколько я знаю. Лично не щупал, но в соседней теме есть про это обсуждение.Am0ralist
05.09.2019 12:06В Oreo появился модульный дизайн, позволяющий обновлять компоненты ОС независимо
А я вот про это, что обещали завести безопасность ещё к 8-версии, то бишь к 17 году, а воз и ныне там.
Среди всех нововведений Android 8 особое место занимают три:
— Treble — новый модульный HAL (Hardware Abstraction Layer), который позволяет четко отделить от остальной части ОС низкоуровневый код ОС, зависящий от производителя смартфона и чипсета;
zikasak
05.09.2019 12:50Это для облегчения работы над прошивкой производителям, а не для обновлений от Гугла. Treble обязатен к использованию для устройств, для которых первой ОС является 8 или выше
dimm_ddr
05.09.2019 10:51+2Ну или сразу уходить на какой-нибудь адекватный кастом.
Чего вы в случае iOS сделать не сможете в принципе.
kovalevsky
05.09.2019 10:59+1А зачем, если апдейты выходят даже на телефоны пятилетней давности?
Kanut
05.09.2019 11:04Ну пять лет там тоже далеко не всегда, но согласен что заметно дольше чем у андроидов.
С другой стороны у некоторых людей смартфоны/планшеты и дольше пяти лет живут и в таких ситуациях получается что вариант только андроид-девайсы с кастом-ромами. Ну опять же если важно чтобы апдейты были.cher11
05.09.2019 11:18+1Почему же не всегда? Устройства переживают около 5 мажорных версий iOS, это уже 5 лет. А недавно выпустили обновления для iOS 9 и iOS 10, на iOS 9 работает iPhone 4S (2011 год), а на iOS 10 — iPhone 5 (2012 год). Это 8 и 7 лет.
Kanut
05.09.2019 11:24Ну например если верить вот этой картинке, то у некоторых сметфонов было 4 года а то и меньше:)
картинка
Aingis
05.09.2019 12:07В случае айфонов только для старых: из самого свежего только iPhone 5C, который просто перекрашенный iPhone 5, 2012 года выпуска. Не думаю, что кто-то ожидал большего. Раньше действительно срок был меньше, Apple его продлили в какой-то момент, возможно, в связи с популярностью дешёвых 5s в своё время (сейчас SE).
motpac
05.09.2019 11:09Такую интерпритацию топика по теме улучшения безопасности Android еще поискать надо. Сначала подумал, что Alizar, так нет же. Вчера весь день читал новости про то, что Android стал более защищен к уязвимостям, а тут бац, оказывается это Apple виноваты.
Звучит примерно так:
— на новость о том что BMW выпустили очень быстрый автомобиль, вы написали «Мерседес такой медленный, что все пересели на BMW»
tataleva
Всё изменчиво.