보고서 : iOS 취약점으로 '홍보'된 시장을 악용하여 가치를 떨어 뜨립니다.

보고서 : iOS 취약점으로 '홍보'된 시장을 악용하여 가치를 떨어 뜨립니다.

지난 주 동안 우리는 몇 년 동안 iPhone 사용자를 대상 으로 한 악의적 인 웹 사이트 악용 에 대해 자세히 배웠습니다 . 오늘 저녁, Vice 의 새로운 보고서 는 보안 산업의 현재 상태와 iOS 악용 횟수가 계속 증가하는 방식에 대해 자세히 설명합니다.

많은“취약점 중개인”중 하나 인 제로 디움 (Zerodium)은 안드로이드 익스플로잇이 iOS 익스플로잇보다 높은 새로운 가격 구조를 발표했습니다. 사용자가 무엇이든 클릭 할 필요없이 장치를“완전히 인수”할 수있는 Android 익스플로잇은 이제 250 만 달러의 가치가있는 반면 동일한 iPhone 취약점은 200 만 달러입니다.

한편 Zerodium은 1- 클릭 iOS 익스플로잇의 가치를 150 만 달러에서 100 만 달러로 줄였습니다.

Zerodium 설립자 Chaouki Bekrar는 이것이 제로 데이 시장이 iOS 악용으로 "홍수"되었기 때문이라고 말합니다.

“제로 데이 시장은 iOS 악용, 주로 Safari와 iMessage 체인에 의해 쇄도합니다. 주로 많은 보안 연구자들이 풀 타임 iOS 악용에 초점을 맞 췄기 때문입니다. 그들은 iOS 보안 및 완화를 완전히 파괴했습니다. iOS 공격이 너무 많아 일부를 거부하기 시작했습니다.”

한편, 안드로이드 측면에서 베카는“전체 안드로이드 익스플로잇 체인을 개발하는 것은 매우 힘들고 시간이 많이 걸린다”고 덧붙였다. 그는 애플이“사파리 나 iMessage와 같은 iOS 컴포넌트의 보안을 개선 할 때까지”라고 안드로이드는 덧붙였다. 더 가치가 있습니다.

Crowdfense는 제로 데이 익스플로잇을 구매하여 정부에 판매하는 다른 회사입니다. Crowdfense의 감독 인 Andrea Zapparoli Manzoni는 이제 Android보다 훨씬 더 많은 iOS 익스플로잇이 있지만주의해야 할 점을 확증했습니다.

"시장에 더 많은 iOS 체인이 있지만 모두 '지능 등급'은 아닙니다"라고 이메일에 썼습니다. "많은 연구자들이 (우리가 지불하는 것과 같은) 최고 지불금을 얻으려고 노력하고 있지만 모두가 올바른 물건을 제공 할 수있는 것은 아닙니다."

Zapparoli Manzoni는 다음과 같이 말했다.

“Android는 '유니버설 체인'을 찾기가 거의 불가능한 단편화 된 환경입니다. iOS보다 '단일 문화'보다 훨씬 어렵습니다.”

물론, 여기에서 주목해야 할 중요한 것은으로 Crowdfense 및 Zerodium이 악용 시장의 한 부분을 구성한다는 것입니다 부사장은 말한다. 그것은 그들이 전체 이야기를 말하지 않을 수도 있음을 의미합니다.

또한, 애플 자체는 최근 자체 버그 바운티 프로그램을 두 배로 늘려 더 높은 지불금을 발표했으며 새로운 iOS 보안 연구 장치 프로그램을 통해 사전 탈옥 된 iPhone을 연구원들에게 배포 할 예정입니다. 이는 Apple의 바운티 프로그램에 새롭게 초점을 맞추고 일부 익스플로잇 벤더가보고있는 것에 대응하는 데 도움이 될 수 있습니다.