Хакер

Компания Zerodium перестала покупать информацию об уязвимостях в iOS. Причина — их стало так много, что предложение значительно превысило спрос.

Мы не будем приобретать какую-либо новую информацию о локальном повышении привилегий iOS, удаленном выполнении кода или побега из песочницы для Safari в течение следующих двух-трёх месяцев из-за большого количества предложений по этим направлениям. Цены на «однокликовые» цепочки эксплоитов (например, через Safari), не гарантирующие постоянного присутствия в системе, скорее всего, существенно упадут в ближайшем будущем.

В прайс-листе Zerodium указано, что за сообщение уязвимостей в Safari выплачивается до 500 тысяч долларов, а за серьёзные эксплойты iOS с подробным описанием осуществления атаки можно получить до двух миллионов долларов.

Стратег по безопасности Intel Райан Наррейн назвал заявленную позицию Zerodium чистейшим маркетинговым трюком. Патрик Уордл, главный исследователь в Jamf Security и основатель Objective-See, считает, что в заявлении Zerodium есть часть правды, но в целом это троллинг.

С осени 2019 года экплойты для Android впервые стали оцениваться дороже, чем эксплойты для iOS. Таким образом рынок отреагировал на то, что количество уязвимостей в iOS увеличилось, а Android, наоборот, стал более защищённым. В декабре того же года Apple открыла всем желающим доступ к программе bug bounty, в рамках кототрой можно сообщать об уязвимостях и багах в продуктах компании. Ранее эта программа была доступна только избранным ИБ-исследователям.





iGuides в Telegram — t.me/igmedia
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru
У нас есть подкаст и его видео-версия