Zdroj: Zerodium
Kto je Zerodium?
Zerodium je niečo ako obchodník so zbraňami, ale digitálnymi zbraňami. Rôzni výrobcovia ponúkajú za zraniteľnosti v ich systémoch odmeny v bug bounty programoch. Veľa firiem nemá bug bounty program a keď má, tak odmeny nie sú zaujímavé v porovnaní s obchodníkmi ako Zerodium. Zerodium nakupuje zero-day zraniteľnosti spolu s funkčným exploitom. Po novom vyplatia za niečo také až 2,5 milióna dolárov. Tieto zraniteľnosti spolu s exploitmi potom predávajú ďalej zákazníkom, ktorí majú o ne záujem a vedia ich zaplatiť.
O čo je záujem
Najviac sú samozrejme ohodnotené zraniteľnosti na mobilných zariadeniach. Záujem majú o funkčné exploity pre Apple iOS 13.x/12.x, Android 9.x/8.x, BlackBerry 10 a Windows 10 Mobile. Zo značiek hardvéru uvádzajú Apple, Google, Samsung, LG, Huawei, OPPO, Sony, HTC, Xiaomi, Acer, Asus, Vivo, Motorola, Lenovo, BlackBerry, ZTE, BBK, and Gionee.
Zmeny v cenníku
Dnes ohlásili významné zmeny v cenníku pre mobily, ktoré odzrkadľujú ponuku od bezpečnostných výskumníkov a dopyt od zákazníkov nakupujúcich mobilné exploity. Objavila sa nová odmena za zero-click zraniteľnosť pre Android s perzistenciou a odmena je 2,5 milióna dolárov. Za exploit umožňujúci samotnú perzistentnosť iného exploitu na Apple iOS (čo je náročné dosiahnuť na Apple iOS) je odmena 500.000 dolárov.
Zvýšili sa odmeny za WhatsApp a iMessage RCE + LPE (Zero-Click) bez perzistencie z 1 milióna na 1,5 milióna. A čo je zaujímavé z pohľadu posledných udalostí, znížila sa cena za Apple iOS full chain (1-Click) s perzistenciou z 1,5 milióna na 1 milión dolárov. Takisto sa znížila cena za iMessage RCE + LPE (1-Click) bez perzistencie.
Cenník
Zdroj: Zerodium
Obrázok: Cenník zraniteľností pre mobily
Vysvetlivky k cenníku
FCP (Full Chain with Persistence) – najcennejšia zraniteľnosť. Obeť nemusí nikam kliknúť. Postačí tel. číslo alebo iný identifikátor a útočník je na mobile. Exploit prežije reštart mobilu.
RCE (Remote Code Execution) – schopnosť spúšťať na diaľku ľubovoľný kód. RCE sa využíva spolu s LPE.
LPE (Local Privilege Escalation) – schopnosť získať vyššie oprávnenie na mobile. LPE sa využíva spolu s RCE.
Zero Click – obeť nemá šancu. Ak ma zraniteľný mobil, nie je od obete nutná žiadna interakcia na úspešný útok.
1-Click – obeť má šancu. Na úspešný útok musí obeť kliknúť napr. na link, inak exploit nebude fungovať.
With persistence – exploit prežije reštart mobilu.
Without persistence – exploit neprežije reštart mobilu.
Čo tieto zmeny znamenajú je, že Apple iOS už nevyzerá tak bezpečne a nedobytne. Android zero-click má väčšiu hodnotu ako Apple iOS zero-click. Odmeny za zraniteľnosti pre iOS, ktoré potrebujú jeden klik od obete sa znížili. Je zjavné, že ich výskumníci vedia nájsť a dodať dosť, čo potvrdil v máji aj zakladateľ firmy Zerodium. Takisto chyby pre iMessage (1-click) bez perzistencie klesli na cene.
Zlý rok pre Apple
Pre Apple je to zatiaľ z hľadiska bezpečnosti zlý rok. Chyba vo Facetime v januári, v auguste otvorili vo verzii 12.4 zraniteľnosť opravenú vo verzii 12.3 a nakoniec minulý týždeň Google Project Zero odhalil rozsiahle hackovanie tisícov Apple iPhone mobilov počas 2 rokov. Posledný incident ukázal, že predstava drahých iOS zero-day exploitov určených len pre vybraných jednotlivcov-obete sa rozpadá. Ak niekto chce cieliť útoky na tisíce mobilov Apple iPhone, nikdy nemal lepšie možnosti. To je pre imidž Apple iPhone ako doteraz najbezpečnejšieho mobilu ťažká rana.
Obrázok: Zerodium
