חברה פרטית שרוכשת באגי אבטחת תוכנה ומנצלים מהאקרים אמרה שהיא תפסיק לתגמל מפתחים של כמה סוגים של ניצול iOS כי פשוט יש לה יותר מדי מהם.
Zerodium היא חברת אבטחת סייבר ידועה שמשלמת להלרכוש מעלליםמחוקרי אבטחה של צד שלישי. במקרים רבים, התשלומים של Zerodium גבוהים בהרבה מאלה של אפלתוכנית פרס באגים רשמית.
אנחנו לא נרכוש כל Apple iOS LPE, Safari RCE, או ארגז חול חדש במהלך החודשיים עד 3 החודשים הבאים עקב מספר גבוה של הגשות הקשורות לוקטורים אלה.
— Zerodium (@Zerodium)13 במאי 2020
המחירים עבור רשתות iOS בלחיצה אחת (למשל באמצעות ספארי) ללא התמדה צפויים לרדת בעתיד הקרוב.
החברה ביום רביעי תלחץ על הפסקה ברכישת עוד הסלמה של הרשאות מקומיות, ביצוע קוד מרחוק או ניצול בריחה של ארגז חול "בחודשיים-שלושה הבאים בגלל מספר גבוה של הגשות". בנוסף, החברה אמרה שהמחירים לסוגים מסוימים של פגיעויות ב-iOS Safari בלחיצה אחת יירדו ככל הנראה בעתיד הקרוב.
בציוץ שלאחר מכן, מייסד Zerodium, Chaouki Bekrar, אמר שאבטחת iOS "נדפקת", והוסיף כי חוסר ההתמדה ומנגנון אבטחה שנקרא קודי אימות מצביע הם שני הדברים היחידים שמונעים מאבטחת iOS "לעלות לאפס".
אבטחת iOS דפוקה. רק PAC ואי-התמדה מונעים ממנו להגיע לאפס... אבל אנחנו רואים ניצולים רבים שעוקפים את PAC, ויש כמה ניצולי התמדה (0 ימים) שעובדים עם כל מכשירי האייפון/אייפדים. נקווה ש-iOS 14 יהיה טוב יותר.https://t.co/39Kd3OQwy1
- Chaouki Bekrar (@cBekrar)13 במאי 2020
חלק מזה ככל הנראה בגלל נעילה עולמית והעובדה שלחוקרי אבטחה יש יותר זמן בידיהם. גורם נוסף יכול להיות ש-iOS 13 היה באגי בצורה יוצאת דופן - עובדה שהובילה את ראש התוכנה של אפל, קרייג פדריגילשפץ את תהליך הפיתוחעבור הגרסה הבאה של iOS.
"בואו נקווה ש-iOS 14 יהיה טוב יותר", אמר בקאר.
זו לא הפעם הראשונה ש-Zerodium רואה שפע של הגשות ל-iOS. בספטמבר 2019, החברהאמרשלראשונה, זה ישלם יותר עבור שימושי אנדרואיד מאשר עבור iOS עקב עודף היצע.
