«Яблочные» уязвимости упали в цене

Компания Zerodium, специализирующаяся на скупке уязвимостей (и последующей перепродаже информации о способах их эксплуатации), объявила о том, что в ближайшие 2-3 месяца не будет принимать к рассмотрению описания некоторых уязвимостей в мобильной операционной системе iOS. Речь, в частности, идет об уязвимостях локального повышения привилегий (local privilege escalation – LPE), удаленного исполнения кода в браузере Safari и выхода из «песочницы». Как пояснили в Twitter представители компании, решение продиктовано избыточным числом обнаруженных в последнее время уязвимостей подобного рода. Компания также предупредила, что в ближайшее время намерена снизить суммы выплат и за другие уязвимости в iOS – все по той же причине их переизбытка.

Нынешняя версия «яблочной» мобильной операционной системы iOS 13 действительно неоднократно подвергалась критике из-за многочисленных ошибок и проблем с безопасностью. По данным СМИ, эти проблемы привели к тому, что старший вице-президент Apple по разработке программного обеспечения Крейг Федериги потребовал провести полную ревизию всего процесса тестирования безопасности программных продуктов. Тем не менее, многие специалисты не склонны считать действия Zerodium свидетельством сколько-нибудь серьезного кризиса iOS. Так, аналитик Intel Райан Наррейн назвал заявления Zerodium «троллингом» и «маркетинговыми уловками». А ведущий исследователь компании Jamf Security Патрик Уордл философски заметил, что «iOS – всего лишь такая же операционная система, как и любая другая, и, как в любой другой, в ней тоже бывают уязвимости. Да, обычно их труднее проэксплуатировать удаленно, но время от времени такое случается». Уордл также предположил, что на рост числа обнаруженных уязвимостей в iOS 13 могла повлиять пандемия. «У многих хакеров образовалась масса свободного времени, они могли лишиться своей официальной работы и оказаться заперты дома». В такой ситуации они вполне могли заняться сложными задачами, до которых прежде не доходили руки: например, взломом «яблочных» систем, которые традиционно славятся надежной защитой.


Источник:  The Register

Возврат к списку