先週、長年にわたりiPhoneユーザーを狙っていた悪質なウェブサイトエクスプロイトの連鎖について、新たな情報が明らかになりました。今夜、Viceの最新レポートでは、セキュリティ業界の現状と、iOSエクスプロイトの増加傾向について、より深く掘り下げています。
数ある「脆弱性ブローカー」の一つであるZerodiumは、Androidの脆弱性をiOSの脆弱性よりも高く評価する新たな価格体系を発表しました。ユーザーが何もクリックすることなくデバイスを「完全に乗っ取る」ことを可能にするAndroidの脆弱性は、現在250万ドルの価値があるのに対し、同じiPhoneの脆弱性は200万ドルの価値があります。
一方、Zerodium は、ワンクリック iOS エクスプロイトの価値も 150 万ドルから 100 万ドルに引き下げました。
Zerodium の創設者 Chaouki Bekrar 氏は、これはゼロデイ市場が iOS の脆弱性攻撃で「氾濫」しているためだと述べています。
ゼロデイ市場はiOSエクスプロイト、主にSafariとiMessageチェーンで溢れています。これは主に、多くのセキュリティ研究者がiOSエクスプロイトに専心していることが原因です。彼らはiOSのセキュリティと緩和策を完全に破壊しました。iOSエクスプロイトがあまりにも多く存在するため、私たちはその一部を拒否し始めています。
一方、Androidに関しては、ベカー氏は「Androidの完全なエクスプロイトチェーンを開発するのは非常に困難で時間がかかる」と述べている。さらに、Appleが「SafariやiMessageなどのiOSコンポーネントのセキュリティを再度強化するまでは」、Androidのエクスプロイトの方が価値が高いと付け加えた。
Crowdfenseもゼロデイ脆弱性を購入し、特に政府機関への販売に重点を置いている企業です。CrowdfenseのディレクターであるAndrea Zapparoli Manzoni氏は、iOSの脆弱性がAndroidの脆弱性よりもはるかに多いことを裏付けていますが、次のような注意点もあります。
「市場にはiOSチェーンが増えていますが、すべてが『インテリジェンスレベル』というわけではありません」と彼はメールで述べています。「多くの研究者が(私たちが支払っているような)高額な報酬を得ようとしていますが、すべてが『正しい成果』を提供できるわけではありません」と彼は書き、これが市場の「ノイズ」を増大させていると付け加えました。
この場合、Android の断片化は実際に役立つと Zapparoli Manzoni 氏は言います。
「Android は非常に断片化された環境であるため、「ユニバーサル チェーン」を見つけることはほぼ不可能です。これは、「単一文化」である iOS よりもはるかに困難です。」
もちろん、ここで注目すべき重要な点は、 Viceが指摘しているように、CrowdfenseとZerodiumはエクスプロイト市場の一部に過ぎないということです。つまり、それだけでは全体像を語れない可能性があるということです。
さらに、Apple自身も最近、自社のバグ報奨金プログラムを強化し、報奨金の増額と、ジェイルブレイク前のiPhoneを研究者に配布する新たなiOSセキュリティ研究デバイスプログラムを発表しました。これはAppleが報奨金プログラムに再び注力していることを示しており、一部のエクスプロイトベンダーが直面している問題に対抗するのに役立つ可能性があります。
iknur.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
