Уязвимостей в iOS стало так много, что их перестали покупать для перепродажи спецслужбам
Компания Zerodium перестала платить хакерам за уязвимости в iOS, потому что их стало слишком много.
Zerodium занимается покупкой уязвимостей нулевого дня для перепродажи государственным организациям и правоохранительным органам. Компания платит хакерам от 100 тысяч до 2 млн долларов за эксплойт.
Однако в iOS и Safari стало так много уязвимостей, что Zerodium решила на 2–3 месяца приостановить выплаты хакерам.
We will NOT be acquiring any new Apple iOS LPE, Safari RCE, or sandbox escapes for the next 2 to 3 months due to a high number of submissions related to these vectors.
Prices for iOS one-click chains (e.g. via Safari) without persistence will likely drop in the near future.— Zerodium (@Zerodium) May 13, 2020
Мы не будем покупать новые LPE [локальное повышение привилегий] для iOS, RCE [удалённое выполнение кода] для Safari или побега из песочницы в течение следующих 2–3 месяцев из-за большого количества заявок, связанных с этими направлениями.
Цены на эксплойты в iOS в один клик (например, через Safari), без гарантии постоянного присутствия в системе, скорее всего, снизятся в ближайшем будущем.
Глава Zerodium добавил, что в iOS есть несколько уязвимостей, работающих на всех iPhone и iPad. Он надеется, что Apple серьёзно поработает над безопасностью в iOS 14. [MacRumors]