Уязвимостей в iOS стало так много, что эксплоиты больше не покупают

Опубликовано at 18:56
55 0

Известный делец эксплоитов, компания Zerodium, временно перестала принимать информацию об уязвимостях локального повышения привилегий в Apple iOS, удаленного выполнения кода в web-браузере Safari или побега из песочницы.

Слишком большое предложение, сообщения об уязвимостях, как заявила компания, идут просто непрерывным потоком. Zerodium также якобы стало известно о «нескольких» уязвимостях нулевого дня, затрагивающих «все iPhone и iPad».

В течение последних двух месяцев цена за эксплоиты для RCE-уязвимостей с побегом из песочницы в Safari снизилась с $500 тыс. до $200 тыс. А настоящее время фирма платит «$0 долларов за такие эксплоиты, которые нам больше не нужны», сообщил глава компании Чауки Бекрар.

«Рынок уязвимостей нулевого дня основан на спросе и предложении. Резкий рост предложения эксплоитов для уязвимостей в конкретном продукте означает, что его уровень безопасности снижается, как и цена на данные эксплоиты», — пояснил Бекрар.

Год назад Zerodium впервые в истории предлагала больше денег за 0-day в Android, чем за схожие проблемы в iOS. Размер выплаты составлял в до $2,5 млн за «мощные» эксплоиты для уязвимостей в мобильной операционной системе Android. Такая значительная сумма предлагалась за полную цепочку эксплуатации, обеспечивающую персистентность и не требующую взаимодействия с пользователем.

Компания Zerodium была создана Чауки Бекраром в 2015 году, она предлагает самые щедрые в мире призы за обнаружение уязвимостей нулевого дня. Zerodium не скрывает, что затем перепродает эксплоиты правительственным агентствам и правоохранительным органам, а тематика конкурсов формируется из запросов клиентов.

Эксперты АКБ ранее неоднократно писали об этой конторе:

Zerodium отстегнет $500 тысяч за дыры в облачных технологиях

Миллион долларов на кону: Zerodium готовы купить эксплоиты для WhatsApp и iMessage

Zerodium заплатит $500 тысяч за уязвимость нулевого дня в UNIX и Linux

Подписываемся, следим @CyberAgency

Related Post

Большой шажок для ботнета: TheMoon переобулся в прокси

Опубликовано - 01.02.2019 0
Исследователи безопасности американского интернет-провайдера CenturyLink обнаружили ботнет из устройств «Интернета вещей» (IoT), который злоумышленники используют для проксирования трафика в мошеннической…

Хотели загрузить Fortnite — а получили вредный сайт: исправлена уязвимость-перехват для Android

Опубликовано - 27.08.2018 0
Исправлена уязвимость в загрузчике сверхпопулярной игры Fortnite для Android. Она позволяла перехватывать процесс инсталляции Fortnite и вместо игры устанавливать другие приложения.…