מתווכים של פגיעות תוכנה הורידו את שיעורי התשלום עבור ניצול iOS, ואמרו ש"הצפה" לאחרונה של אייפון אפס-ימים הופכת את הבאגים לפחות בעלי ערך מאשר התקפות דומות שנועדו לחדור לאנדרואיד.
משווק הניצול Zerodium הכריז ביום שלישי על שיעורי מעבר גבוהים יותר עבור פרצות אנדרואיד, כשהחברה משלמת כעתעד 2.5 מיליון דולרעבור מה שנקרא אפס-קליק אפס-ימים, מדווחלוח אם.
ככל שהערך של ניצול אנדרואיד גדל, בריאות השוק של אפס ימים שנועדה לסכל הגנות iOS עומדת על קיפאון עקב מה שניתן לאפיין כשפע של אספקה. Zerodium, למשל, משלם 2 מיליון דולר עבור וקטורים עם אפס קליקים המכוונים לאייפון, והפחית את התשלומים עבור התקפות בקליק אחד מ-1.5 מיליון דולר למיליון דולר, נכתב בדו"ח.
ניצול אפס קליק מתייחס לפגיעויות שניתן למנף אותן לפריצת מכשיר ללא אינטראקציה של המשתמש, בעוד שימים אפס מוגדרים כבאגים, ניצולים ופגמים אחרים שעדיין לא ידועים למפעילי הפלטפורמה. ימי אפס הם נכסים יקרים במיוחד עבור האקרים - חוקיים ומרושעים כאחד - המחפשים לפרוץ למכשירים נעולים כמו אייפון.
"שוק יום האפס מוצף על ידי ניצול iOS, בעיקר רשתות Safari ו-iMessage, בעיקר בשל [של] הרבה חוקרי אבטחה שהפכו את המיקוד שלהם לניצול iOS במשרה מלאה", אמר מייסד Zerodium Chaouki Bekrar. "הם הרסו לחלוטין את האבטחה וההקלות של iOS. יש כל כך הרבה ניצול של iOS שאנחנו מתחילים לסרב לחלק מהם."
מנהלת קניית הניצול Crowdfense, אנדריאה זפארולי מנזוני, מסכימה עם הערכת השוק של בקאר, אך מציינת שלא כל רשתות ה-iOS הן "בדרגת אינטליגנציה". ובכל זאת, נראה שהיצע הפגיעות יותר מהביקוש.
בקאר הוסיפה כי אנדרואיד הופכת קשה יותר לפיצוח, בין השאר בגלל פיצול. טבעה של מערכת ההפעלה של גוגל מרובת גרסאות ומכשירים רבים נחשב כבר זמן רב לחולשה מבחינת עקביות ויציבות, אך זו בדיוק ה"תכונה" שעשויה להיות שימושית בהגנה מפני התקפה נרחבת, נכתב בדו"ח.
"אנדרואיד היא נוף כל כך מקוטע שכמעט בלתי אפשרי למצוא 'שרשרת אוניברסלית'; הרבה יותר קשה מאשר ב-iOS שהיא 'מונו-תרבות'", אמר זפארולי מנזוני.
בקראר פירט ואמר שהאבטחה המשתפרת כל הזמן של אנדרואיד מקשה על גילוי באגים עבור החוקרים. לכאורה הוא רומז שאפל לא עומדת בקצב מאמצי ה-iOS שלה.
"עם זאת, האבטחה של אנדרואיד משתפרת עם כל מהדורה חדשה של מערכת ההפעלה. זה מאוד קשה וגוזל זמן לפתח רשתות ניצול מלאות של אנדרואיד וזה אפילו יותר קשה לוקטורים עם אפס קליקים (לא דורש שום אינטראקציה של משתמש)," אמר בקאר. "אנו מאמינים שהגיע הזמן לשלם את פרס הבאגים הגבוה ביותר עבור ניצול אנדרואיד עד שאפל תשפר מחדש את האבטחה של רכיבי iOS כגון Safari ו-iMessage."
כפי שצוין על ידילוח אם, ברוקרים כמו Zerodium ו-Crowdfense מהווים רק תת-חלק משוק רחב הרבה יותר העוסק בפרצות תוכנה. שחקנים אחרים כוללים חברות המתווך עוסקות אך ורק עם רשויות אכיפת החוק וסוכנויות ממשלתיות, חברות מחקר אזוריות ושחקנים נוכלים.
תמחור הפרס החדש של Zerodium מגיע ימים לאחר ש-Project Zero של גוגל הכריז על כךגילוי של פריצת אייפון מאסיביתמִבצָע. במהלך תקופה של מה שנחשב לשנים, סדרה של אתרי אינטרנט פרוצים ניצלו פגיעויות מרובות כדי להפיץ שתל תוכנה המסוגל לסחוב מידע משתמש רגיש ולעקוב אחר מיקומם של מכשירי אייפון מודרניים המריצים את הגרסאות העדכניות ביותר של iOS.
דוח המשך טען שהממשלה הסינית השתמשה בפריצה כדילפקח על המוסלמים האויגורים.
