В Twitter известного брокера уязвимостей, компании Zerodium появилось сообщение о том, что в ближайшие месяцы компания не будет приобретать новые эксплоиты для уязвимостей в iOS, так как предложение превысило спрос.
«Мы НЕ будем приобретать какие-либо новые LPE [локальное повышение привилегий] для Apple iOS, RCE [удаленное выполнение кода] для Safari или побега из песочницы в течение следующих двух-трех месяцев из-за большого количества предложений по этим векторам. Цены на “однокликовые” цепочки эксплоитов (например, через Safari), не гарантирующие постоянного присутствия в системе, скорее всего, существенно упадут в ближайшем будущем», — гласит сообщение Zerodium.
В свою очередь, глава Zerodium Чауки Бекрар пишет в своем личном Twitter следующее:
«Безопасность iOS про*бана. Только PAC [Pointer Authentication Codes] и отсутствие постоянного присутствия в системе удерживают ее от падения до нуля ... но мы видим много эксплоитов для обхода PAC, а также есть несколько эксплоитов (0day), работающих со всеми iPhone/iPad. Остается надеяться, что iOS 14 будет лучше».
Напомню, что согласно актуальному прайс-листу компании, RCE + LPE уязвимости в Safari оценивались в 500 000 долларов США. Более серьезные эксплоиты для iOS, такие как FCP (full chain with persistence, полная цепочка с постоянным присутствием в системе), по-прежнему могут стоить до 2 000 000 долларов.
При этом еще осенью прошлого года эксплоиты для Android впервые в истории стали стоить дороже, чем эксплоиты для iOS. Тогда Чауки Бекрар объяснял, что изменяя цены таким образом, его компания лишь реагирует на рыночные тенденции, и уже тогда отмечал, что количество эксплоитов для iOS быстро растет.
Вскоре после этого, в декабре прошлого года, Apple открыла для широкой публики свою программу bug bounty, существующую с 2016 года, но ранее доступную только избранным исследователям.
Райан Наррейн (Ryan Narraine), стратег по безопасности Intel, назвал нынешнюю позицию Zerodium «чистым PR/маркетинговым трюком» и охарактеризовал заявления компании, как троллинг.
Патрик Уордл (Patrick Wardle), главный исследователь в Jamf Security и основатель Objective-See, рассказал журналистам издания The Register, что вероятно, в заявлениях Zerodium есть немного от правды и немного от троллинга.
«Вряд ли заявление Zerodium станет сюрпризом для исследователей/хакеров iOS. Ведь это просто еще одна операционная система, которая может содержать уязвимости и их можно эксплуатировать. Да, возможно, их труднее использовать удаленно, но мы видели, как iOS поддается снова и снова, что наглядно демонстрировали Google Project Zero и NSO Group», — говорит Уордл.