تكبير الصور | اوريش لوسون
لأول مرة على الإطلاق ، فإن وسيط استغلال الأمان Zerodium هو دفع سعر أعلى لهجمات اليوم صفر التي تستهدف ل droid من أنه يدفع لهجمات مماثلة تستهدف دائرة الرقابة الداخلية.
تظهر قائمة أسعار محدثة نشرت الثلاثاء سوف Zerodium الآن ادفع 2.5 مليون دولار للقطعة الواحدة مقابل “السلسلة الكاملة (Zero-Click) باستخدام استمرار “أيام الصفر الروبوت” مقارنة مع 2 مليون دولار لنظام التشغيل iOS أيام الصفر التي تفي بالمعايير نفسها. البرنامج السابق عرضت نظرة عامة 2 مليون دولار لمآثر iOS غير المنشورة ولكنها صنعت لا توجد إشارة على الإطلاق إلى مآثر Android. مؤسس زيروديوم وأخبر الرئيس التنفيذي شوقي بكار آرس بأن الوسيط دفع ثمن “كل حالة على حدة” أساس اعتمادا على سلسلة “يستغل أندرويد.
“يغمرها نظام iOS يستغل”
أخبر Bekrar Ars أن هذه الخطوة كانت مدفوعة بفرة من نظام التشغيل iOS استغلال السلاسل التي تزامنت مع تزايد صعوبة العثور على مآثر قابلة للمقارنة للإصدارات 8 و 9 من Android. في الرسالة ، كتب بكار:
خلال الأشهر القليلة الماضية ، لاحظنا زيادة في عدد عمليات استغلال iOS ، معظمها سلاسل Safari و iMessage ، تم تطويرها وبيعها بواسطة باحثين من جميع أنحاء العالم. ال غمرت سوق الصفر اليوم من قبل iOS يستغل أننا في الآونة الأخيرة بدأ يرفض البعض منهم.
من ناحية أخرى ، يتحسن أمان Android مع كل جديد إصدار نظام التشغيل بفضل فرق الأمان من Google و سامسونج ، لذلك أصبح من الصعب جدا وتستغرق وقتا طويلا لتطوير الكامل سلاسل مآثر لنظام أندرويد وصعوبة تطوير صفر يستغل النقر لا يتطلب أي تدخل المستخدم.
وفقا لهذه التحديات التقنية الجديدة المتعلقة الأمن الروبوت وملاحظاتنا على اتجاهات السوق ، ونحن نعتقد حان الوقت لتخصيص أعلى المكافآت لنظام Android يستغل حتى تقوم أبل بإعادة تحسين أمان iOS و يعزز أضعف الأجزاء التي هي iMessage و Safari (Webkit والرمل).
تحتوي أنظمة التشغيل الحديثة على مجموعة متنوعة من الأمان الحماية التي تتطلب عادة المهاجمين للجمع بين اثنين أو أكثر يستغل في سلسلة الهجوم ، مع كل وصلة معالجة مختلفة التطبيق أو الدفاع. مآثر النقر الصفري هي تلك التي لا تستغلها تتطلب أي تفاعل على الإطلاق من جانب المستخدم النهائي. Anاستغلال يصل إلى رسالة نصية ويسمح للمهاجم السيطرة على الجهاز هو مثال. بنقرة واحدة استغلال ، من قبل على النقيض ، يتطلب من المستخدم النهائي اتخاذ الحد الأدنى من الإجراءات ، مثل زيارة موقع مفخخ.
صرخة يقظة
قراءة متعمقة
المسلحة مع iOS 0days ، والمتطفلين مصابة فون عشوائية ل تغير السعر يأتي بعد أربعة أيام من الباحثين أبلغ Google Project مشروع صفر عن مستخدمي إصدارات مصححة بالكامل من دائرة الرقابة الداخلية كانت عرضة ل iOS صفر يوما التي تم استغلالها في البرية لأكثر من عامين. هجمات ضد 14 منفصلة تم حزم نقاط الضعف في خمس سلاسل استغلال منفصلة التي أعطت المهاجمين القدرة على حل وسط ما يصل إلى تاريخ الأجهزة.
وشنت الهجمات من مجموعة صغيرة من الاختراق المواقع التي استخدمت مآثر للهجوم العشوائي على كل جهاز iOS الذي زار. استخدم المهاجمون المآثر لتثبيت البرامج الضارة التي سرقت الصور ورسائل البريد الإلكتروني وبيانات اعتماد تسجيل الدخول بيانات الموقع ، والمزيد من أجهزة iPhone و iPad. Project Zeroلم يحدد الباحثون أيًا من مواقع الويب التي استضافت مآثر. يوم الاثنين ، باحثون من شركة الأمن Volexity حددت 11 موقعًا إلكترونيًا تخدم زوار الأويغور وتركستان الشرقية من المحتمل أن يخدم iOS يستغل. وقال Volexity آخر واحد من المواقع كما يبدو لاستغلال أندرويد الضعف توقف عن العمل في عام 2017 مع إصدار Chrome 60.
تقرير المشروع صفر أن المواقع علنا و استغل نظام التشغيل iOS صفرًا بشكل عشوائي لأكثر من عامين تحدى العديد من الافتراضات التقليدية بعض الأمن صنع الباحثون حول الأمان على نظام تشغيل Apple المحمول. سابقا، افترض العديد من سلاسل الهجوم بنقرة واحدة أو بنقرة واحدة التي نجحت ضد أحدث إصدار من دائرة الرقابة الداخلية كانت مكلفة للغاية ونادرة بحيث كانت تستخدم لماما. الطريقة العشوائية التي استُخدمت بها المآثر اقترحت المواقع التي اكتشفها Project Zero نظام التشغيل iOS غير المنشور كانت الهجمات وفيرة ، على الرغم من الخبرة الكبيرة اللازمة لتطويرها.
“أحدث مجموعة من الأيام صفر تؤثر على منصة أبل التي أعلن عنها غوغل Project Zero كانت قليلا من مكالمة إيقاظ تحطيم وجهات نظرنا حول النظام البيئي لنظام التشغيل iOS وأمنه ، “جيروم Segura ، مدير الاستخبارات التهديد في مزود مكافحة الفيروسات البرامج الضارة ، وقال آرس. “بينما صحيح أن أبل تتحكم في الأجهزة والتي يتم اعتماد تحديثات نظام التشغيل بسرعة ، ونحن نرى دليل على أن المهاجمين المصممين قادرون على تجاوز أمان iOS آليات أكثر مما كانت عليه في الماضي. ”
قال تحديث Zerodium أن سعر 2.5 مليون دولار ينطبق على Android الإصدارات 8 و 9. التحديث لم يشر إلى Android 10 ، والتي تم إصداره يوم الثلاثاء ، لكن Bekrar أخبر آرس أن هذا الإصدار هو مغطاة كذلك. بينما Zerodium يدفع 2.5 مليون دولار و 2 دولار مليون لاستغلال سلاسل النقر صفر لأجهزة Android و iOS ، على التوالي ، أعلى سعر لاستغلال مماثلة يستهدف سطح المكتب أنظمة تشغيل تتصدر في 1 مليون دولار.
“يجب ألا يقلق مستخدمو الهاتف المحمول من الأمن العام الأجهزة المحمولة هي في الوقت الحاضر أفضل بكثير من أي كمبيوتر محمول أو قال بكار.
