漏洞收购公司Zerodium本周宣布,由于过剩,它不再购买某些类型的iOS漏洞,该公司预计价格在不久的将来会下降。
Zerodium在Twitter上表示,在接下来的2-3个月内,它将不再获得iOS本地权限提升、Safari远程代码执行和沙盒逃逸漏洞,“因为与这些向量相关的提交数量很高”。
该公司表示,预计不提供持久性的一键利用链的价格将会下降。
Zerodium首席执行官兼创始人Chaouki Bekrar在推特上表示,只有指针验证码(PAC)-它们提供保护,以防内存中指针发生意外变化-以及实现持久性的困难“阻止了(iOS安全)走向零”。
贝克拉尔说:“iOS安全已经完蛋了。”他指出,他们已经看到了许多旨在绕过PAC的漏洞,以及一些可以帮助攻击者在所有iPhone和iPad上实现持久性的零日漏洞。“让我们希望iOS14会变得更好,”他补充说。
贝克拉尔在接受“安全周刊”采访时表示:“iOS和Android漏洞的需求一直很高,但由于开发过程中面临的技术挑战,供应量很低。然而,在过去的几个月里,我们观察到iOS提交的数量激增(特别是Safari远程代码执行、沙盒逃逸和权限提升),我们被迫做出反应,首先降低了价格,现在我们在接下来的两到三个月里暂停了对这些功能的购买。”(注:这句话的意思是:“在过去的几个月里,我们观察到iOS和Android漏洞的提交数量激增(特别是Safari远程代码执行、沙盒逃逸和权限提升),但由于这些漏洞开发过程中面临的技术挑战,我们的供应量很低。”
“这一峰值很可能是因为调查iOS的研究人员数量增加了,也可能是因为公共越狱的可用性,这有助于研究人员更容易地对iOS设备进行反向工程,更快地找到漏洞。”另一方面,安卓提交的数量保持稳定,“贝克拉尔说。
根据其网站,Zerodium准备支付高达200万美元的价格,购买实现持久性且不需要用户交互的iOS利用链。另一方面,针对Android的同类攻击价值高达250万美元。
在过去的一年里,苹果已经修补了许多iOS漏洞,包括那些可能被利用来远程攻击iPhone的漏洞。
这家科技巨头正在运行一项公开的漏洞赏金计划,通过该计划,它准备支付高达100万美元的资金,用于实现持久性、绕过PAC并且不需要用户交互的漏洞。