Slechts een paar dagen nadat Google onthulde dat geavanceerde hackers – waarschijnlijk werkzaam voor de Chinese overheid – al jarenlang iPhones binnendringen, gaf een bekende exploithandelaar aan dat iPhone-hacks zoveel voorkomen dat exploits niet meer zoveel waard zijn als eerst.Op dinsdag kondigde exploithandelaar Zerodium nieuwe prijzen aan voor Android zero-days: bugs en exploits waarvan het bedrijf zelf niet op de hoogte is, en gewild zijn onder veiligheidsdiensten. Zerodium betaalt 2.5 miljoen dollar voor exploits die Android-overnames mogelijk maken zonder dat het slachtoffer ergens op hoeft te klikken, terwijl die exploits voor iOS nog maar 2 miljoen dollar waard zijn.
Advertentie
“De zero-day markt is overspoeld met iOS-exploits, vooral Safari en iMessage-ketens. Dat komt omdat veel onderzoekers hun aandacht fulltime op iOS-exploitaties hebben gericht,” vertelde Chaouki Bekrar, de oprichter van Zerodium. “Ze hebben de iOS-beveiligingen volledig gekraakt. Er zijn zoveel iOS-exploits dat we er sommige moeten weigeren.“Er zijn veel iOS chains op de markt, maar ze zijn niet allemaal ‘intelligence-grade”, schreef hij in een e-mail. “Veel onderzoekers willen door ons uitbetaald worden, maar ze kunnen lang niet allemaal ‘het juiste spul’ leveren,” wat volgens hem toevoegt aan de groeiende ruis op de markt.De prijzen voor iPhone-exploitketens zijn nog steeds hoog, en de ketens zelf zijn alsnog relatief zeldzaam. Een zero-click iOS-exploit, waar dus geen interactie van de gebruiker voor nodig is, levert nog steeds 2 miljoen dollar op. Zerodium heeft de betaling voor een keten waar één actie bij nodig is, bijvoorbeeld het klikken op een link, verlaagd van 1.5 naar 1 miljoen dollar.
Google reageerde niet op ons verzoek om een reactie, en Apple wil niet on the record reageren op de prijsdalingen. Wat betreft Android, zegt Bekrar: “De veiligheid van Android gaat er met elke OS-release op vooruit. Volledige Android-ketens ontwikkelen is extreem moeilijk, en dat geldt al helemaal voor de zero-click varianten.”“Totdat Apple de veiligheid van iOS-componenten zoals Safari en iMessage verbetert zullen we meer blijven betalen voor Android-exploits,” voegde hij toe.Zapparoli Manzoni zei, “Android is zo gefragmenteerd dat universele ketens bijna onmogelijk te vinden zijn, dat maakt het veel lastiger te kraken dan iOS, wat eigenlijk een monocultuur is.” Dit houdt in dat als een team onderzoekers een werkende exploitketen vindt voor iOS, dat de kans groot is dat deze toepasbaar is op alle iPhones met die specifieke OS-versie. Bij Android heb je te maken met zoveel OS-varianten dat de ketens zelden breed toepasbaar zijn.Manzoni voegde toe dat Chrome een bijzonder moeilijk doelwit blijft om te hacken, en dat “VIP’s” steeds vaker Android-producten gebruiken in plaats van Apple, waardoor Android-ketens automatisch extra waardevol worden.Het is belangrijk om in gedachten te houden dat bedrijven als Zerodium en Crowdfense maar een klein stuk van de exploittaart vormen. Sommige bedrijven opereren alleen heimelijk, en werken slechts met cliënten uit een beperkte selectie landen, zoals de Five Eyes Alliance van Amerika, de UK, Canada, Australië en Nieuw-Zeeland. Andere landen, zoals China, oefenen veel druk uit op exploitontwikkelaars binnen hun eigen grenzen. Deze delen van de markt zijn niet zichtbaar, wat mogelijk een verstoord beeld geeft van de beschikbaarheid van hacks en exploits.“De veiligheid van Android gaat er met elke OS-release op vooruit. Volledige Android-ketens ontwikkelen is extreem moeilijk, en dat geldt al helemaal voor de zero-click varianten.”