Zerodium, una "plataforma de adquisición de explotaciones de primera calidad", compró una vulnerabilidad de jailbreak de iOS a un niño en el Reino Unido por aproximadamente 1,5 millones de dólares. Actualmente están ofreciendo la misma cantidad en su sitio web, pero mi pregunta es: ¿por qué valen tanto? La propiedad de un jailbreak hace que cuesten más de un millón de dólares, en comparación con las vulnerabilidades habituales como Windows RCE, o incluso un jailbreak de Android.
Cualquier vulnerabilidad vale mucho más antes de que se conozca la vulnerabilidad (AKA, 0 días) que después. La razón es simple, no hay parches disponibles para una vulnerabilidad "desconocida", por lo que el exploit funciona en todos los dispositivos que utilizan el software vulnerable dadas las condiciones adecuadas para que el exploit funcione.
Una vez que se conoce la vulnerabilidad (públicamente, o para los autores del software vulnerable), el parche se desarrolla, esto puede llevar algún tiempo pero está sucediendo. Una vez que el parche está disponible, el exploit solo funciona en software obsoleto, que es mucho menos que antes de parchear
Eso explica por qué vale más como un día de 0 que como un exploit que abusa de una vulnerabilidad conocida. El precio específico para un exploit iOS de 0 días que vale 1.5 millones de dólares es probablemente la causa Apple pagó hasta 500,000 USD el año pasado por un día de 0 días en sus dispositivos, si el" mercado legal "aumenta el precio que el" mercado oscuro "también lo aumentará, Si no, ¿por qué alguien vendería un nuevo exploit en el mercado oscuro con todas las implicaciones legales que tiene si la compañía ya paga más sin ninguna implicación legal?
Editar: como referencia (el precio real puede variar) puede verificar cuánto vale la pena explotar antes y después de que se conozca la vulnerabilidad aquí , y verá que la proporción entre ambos precios permanece aproximadamente igual para cada CVE
Hay varios factores que contribuyen, pero estos parecen ser los principales factores que contribuyen:
complicidad
Los jailbreaks remotos sin ataduras generalmente requieren una serie de errores especiales. Esto significa que la etiqueta de precio por error utilizado es una parte del precio general. También significa que el desarrollo requiere varias personas durante períodos de tiempo significativos y este costo debe cubrirse y se debe obtener algún beneficio.
oferta y demanda
El suministro está limitado, ya que la cantidad de grupos que pueden proporcionar estos jailbreaks sin ataduras remotos se puede contar con los dedos. Por lo tanto, debe pagar un dólar superior para superar la oferta de la competencia. La demanda es impulsada por la participación en el mercado del iPhone, que es mucho mayor si se considera que la mayoría de las vulnerabilidades de Android solo funcionan en un pequeño subconjunto de terminales / proveedores, ya que no son todos iguales, a diferencia de los iPhones.
Es la economía básica en el trabajo a pesar de que los medios de comunicación y otros gritan sobre 0days y el cielo se cae.
Hay varias razones posibles para esto:
Los contratistas del gobierno a menudo aumentan significativamente los precios de 0 días. La venta de una cadena de explotación confiable para Chrome a Raytheon SI puede generarle 300,000 USD. Vender la misma cadena a J. Random Hacker en IRC puede obtener una fracción de ese precio.
Simplemente saber que un exploit es un jailbreak no te dice qué es el vector de explotación. Un exploit de jailbreak que requiere que usted instale software privilegiado y conecte su dispositivo a una computadora a través de USB valdrá mucho menos que uno que se puede hacer simplemente visitando una página web, que a su vez valdrá mucho menos que uno que explote la banda base de forma inalámbrica.
En pocas palabras, iOS es bastante seguro. Si bien es sabido que los dispositivos Apple no son excelentes para la privacidad, las personas a menudo comparan eso con ser inseguro, lo que no es cierto. Además, como está tan centralizado, se garantiza que las actualizaciones se publiquen con frecuencia. Con Android, a menudo tiene que esperar a que su OEM, que ignora la seguridad, envíe realmente actualizaciones vitales a pesar de que AOSP (el proyecto de Google que desarrolla Android) ya lo ha creado.
Android usa el kernel de Linux internamente e incluye muchas otras bibliotecas ampliamente utilizadas. El hecho de que utilice el popular software de código abierto no hace que el software sea menos seguro , pero sí significa que un exploit que funciona en Android puede no ser específico de Android. Debido a la especificidad de los exploits de iOS, las personas pueden cobrar más por ellos.