ソフトウェアの脆弱性ブローカーは、iOSエクスプロイトのペイアウト率を引き下げ、最近のiPhoneゼロデイの「洪水」により、Androidに浸透するように設計された同等の攻撃よりもバグが価値が低下していると述べています。
エクスプロイト再販業者ゼロジウムは火曜日にAndroidの脆弱性の増加率を発表しました。最大250万ドルいわゆるゼロクリックゼロデイの場合、報告しますマザーボード。
Androidエクスプロイトの価値が高まるにつれて、iOS保護が供給過剰として特徴付けられるものにより、iOS保護が停滞するように設計されたゼロデイの市場の健康が停滞します。たとえば、Zerodiumは、iPhoneをターゲットにしたゼロクリックベクトルに200万ドルを支払い、150万ドルから100万ドルのワンクリック攻撃の支払いを減少させたと報告書は述べています。
ゼロクリックエクスプロイトとは、ユーザーの相互作用なしでデバイスをハッキングするために活用できる脆弱性を指しますが、ゼロデイはバグ、エクスプロイト、およびプラットフォームオペレーターにはまだ知られていないその他の欠陥として定義されます。ゼロデイは、iPhoneのようなロックダウンされたデバイスに侵入しようとしているハッカーにとって特に高額な資産です。
「ゼロデイ市場は、主にサファリとイメサージのチェーンであるiOSエクスプロイトによって浸水しています。主に多くのセキュリティ研究者がフルタイムのiOSの搾取に変えたためです」とZerodiumの創設者Chaouki Bekrar氏は述べています。 「彼らはiOSのセキュリティと緩和を絶対に破壊しました。多くのiOSエクスプロイトがあり、それらのいくつかを拒否し始めています。」
Exploit BuyerのCrowdFenseのディレクターであるAndrea Zapparoli Manzoniは、Bekrarの市場の評価に同意しますが、すべてのiOSチェーンが「インテリジェンスグレード」ではないことに注意しています。それでも、それは、Satesが要求するよりも脆弱性の供給が多いようです。
Bekrarは、Androidは断片化のために、割れがますます難しくなっていると付け加えました。 Googleのオペレーティングシステムの多種多様な多用性は、一貫性と安定性の点で長い間弱点と考えられてきましたが、広範な攻撃から保護するのに役立つのはこの「機能」です。
「Androidは断片化された風景であるため、「普遍的なチェーン」を見つけることはほとんど不可能です。「モノカルチャー」であるiOSよりもはるかに難しい」とZapparoli Manzoni氏は述べています。
Bekrarは、Androidが常にセキュリティを改善していると言って、研究者にとってバグの発見をより困難にしていると述べています。彼は、AppleがiOSの努力に対応していないことを示唆しているようです。
「ただし、Androidのセキュリティは、新しいOSリリースごとに改善されています。完全なAndroidエクスプロイトチェーンを開発するのは非常に困難で時間がかかり、ゼロクリックベクトル(ユーザーの相互作用は不要)でさらに困難です」とBekrar氏は言います。 「AppleがSafariやImessageなどのiOSコンポーネントのセキュリティを再構築するまで、Android Exploitsの最高のバグバウンティを支払う時が来たと信じています。」
指摘されているようにマザーボード、ZerodiumやCrowdfenseなどのブローカーは、ソフトウェアの脆弱性を扱うはるかに広い市場のサブセクションのみを構成しています。他のプレーヤーには、ブローカーが法執行機関と政府機関、地域調査会社、不正行為者のみを扱う企業が含まれます。
Zerodiumの新しいバウンティ価格設定は、Googleのプロジェクトゼロが発表した数日後に到着します大規模なiPhoneハッキングの発見手術。何年もと考えられている期間にわたって、ハッキングされた一連のWebサイトは、敏感なユーザー情報をスワイプできるソフトウェアインプラントを広め、最新のiOPONEのIOSを実行している最新のiPhoneの場所を追跡できる複数の脆弱性を利用しました。
フォローアップレポートは、中国政府がハッキングを使用したと主張しましたUyghurイスラム教徒を監視します。
Isamu 
Isamu 
Isamu