image

Bedrijf stopt tijdelijk met aanschaf van zeroday-exploits voor iOS

donderdag 14 mei 2020, 17:09 door Redactie, 12 reacties

Het bedrijf Zerodium dat zeroday-exploits inkoopt is tijdelijk gestopt met de aanschaf van zeroday-exploits voor bepaalde Apple iOS-kwetsbaarheden. Aanleiding is het grote aantal inzendingen, zo meldt het bedrijf via het eigen Twitterkanaal. Het gaat specifiek om kwetsbaarheden waarmee een aanvaller op iOS zijn rechten kan verhogen, uit de sandbox van Safari kan breken of via Safari willekeurige code kan uitvoeren.

Voor een kwetsbaarheid in Safari gecombineerd met de mogelijkheid om met verhoogde rechten code op het toestel uit te voeren betaalt Zerodium tot 500.000 dollar. Een "sandbox escape" voor Safari levert 200.000 dollar op. Verder verwacht Zerodium dat de prijs voor een "one-click chain", waarbij er één klik van de gebruiker is vereist om het toestel te compromitteren, bijvoorbeeld door het openen van een link naar een kwaadaardige website, ook zal dalen.

Chaouki Bekrar, de ceo van Zerodium, stelt dat de beveiliging van iOS op dit moment een puinhoop is en er tal van exploits zijn die de beveiliging van Apple omzeilen. De zeroday-exploits die Zerodium inkoopt worden doorverkocht aan klanten van het bedrijf. Op de eigen website laat Zerodium weten dat het voornamelijk aan overheidsinstanties levert.

Burgerrechtenbewegingen zoals de EFF en Bits of Freedom en privacyonderzoekers hebben in het verleden vaak kritiek geuit op bedrijven als Zerodium. Het zou onduidelijk zijn waar de exploits terechtkomen en wie er gebruik van maken. Ook worden de softwareontwikkelaars in kwestie niet geïnformeerd, waardoor alle gebruikers van een bepaald platform risico lopen.

Image

Reacties (12)
14-05-2020, 20:18 door Anoniem
Zerodium gedraagt zich als dekmantel voor overheidsspionage. Het feit dat softwareontwikkelaars niet op de hoogte worden gesteld, zegt alles over de handel en wandel van Zerodium. Helaas een voorbeeld hoe belangrijke kennis tav veiligheid door laksheid bij crooked bedrijven terecht kan komen.
15-05-2020, 01:04 door Anoniem
Kunnen verkopers van anderssoortige producten, die wegens de kleinste wanprestatie al geld terug moeten geven, niet inmiddels met een beroep op de Wet Gelijke Behandeling wat verliesposten gaan schrappen? Want het begint allemaal wel wat exorbitant oneerlijk te worden op deze manier.
15-05-2020, 07:12 door Anoniem
Tja, als Zerodium deze dienst niet levert zal een inlichtingendienst zelf weer (meer) mensen in dienst (proberen te) nemen. Of desnoods via de grijze/zwarte markt exploits aanschaffen. Het voordeel is dat ze nu makkelijk, geverifieerde, exploits kunnen kopen. Zolang er gaten te vinden zijn en de overheid er belang bij heeft om deze uit te buiten gaat er niks veranderen. Macht en geld is waar de wereld nu helaas om draait.
15-05-2020, 07:35 door Anoniem
Apple kan toch ook betalen voor 0-days die hebben meer geld immers....
15-05-2020, 07:53 door Anoniem
Het is echt hilarisch dat dit soort bedrijven legaal zijn maar als je een plaatje kopieert zonder toestemming word je opgepakt.
15-05-2020, 10:14 door Anoniem
Zerodium beweert dat iOS zo lek is als een mandje. Apple zou een rechtszaak moeten aanspannen: Zerodium kom maar op met het bewijs.
15-05-2020, 12:01 door Anoniem
Door Anoniem: Zerodium beweert dat iOS zo lek is als een mandje. Apple zou een rechtszaak moeten aanspannen: Zerodium kom maar op met het bewijs.
Apple kruipt voor die boeven van Zerodium. Ze hebben vermoedelijk de broncode iOS én betere overheidscontacten.
15-05-2020, 12:26 door Anoniem
Lieve mensen,

Daarom is open disclosure zo belangrijk. Heeft er niemand meer baat bij, maar wordt het wel veiliger.
Trouwens als je alles zou weten, kun je met een dubbeltje de wereld rond. Is ook nog eens goedkoper.

's Mensen hebzucht is haar grootste vijand. Zie de bitcoins in mijn ogen (iron.),

Altijd is de mensheid in kampen verdeeld (geworden & gehouden).

Rijken tegen armen, vrijen tegen slaven en horigen, stad tegen staat,
wijzen tegen dommen, de ene religie tegenover de andere, maar ook binnen religies.

Homo homini lupus est (credits go to Asinaria).

De macht leeft via verdeel en heers, en zo is het hiermee ook.
Het probleem is zo oud als de wereld zelf.

Jodocus Oyevaer
15-05-2020, 12:35 door Anoniem
Het bewijs is te koop. Dat is hun verdienmodel.
15-05-2020, 14:48 door Anoniem
Door Anoniem: Het is echt hilarisch dat dit soort bedrijven legaal zijn maar als je een plaatje kopieert zonder toestemming word je opgepakt.

Voor wapenhandel heb je een vergunning nodig. Op dit niveau zit het wel...
16-05-2020, 09:20 door botbot
Door Anoniem: Het is echt hilarisch dat dit soort bedrijven legaal zijn maar als je een plaatje kopieert zonder toestemming word je opgepakt.

Hilarisch zou ik het niet noemen eerder triest. Ik zou het op zijn minst willen dat dit bedrijf verplicht wordt om zijn volledige klantenlijst te openbaren aangezien we het hier hebben over nationale veiligheid. En/of dat ze verplicht worden om de zero-days aan apple kenbaar te maken. Want "verkopen voornamelijk 'aan de overheid'", ja daar heb je natuurlijk geen flikker aan. Wat is de overheid? Wat betekend "voornamelijk", wie zijn de anderen en hoeveel precies?
18-05-2020, 11:55 door Johan d H
Door Anoniem: Lieve mensen,

Daarom is open disclosure zo belangrijk. Heeft er niemand meer baat bij, maar wordt het wel veiliger.
Trouwens als je alles zou weten, kun je met een dubbeltje de wereld rond. Is ook nog eens goedkoper.

's Mensen hebzucht is haar grootste vijand. Zie de bitcoins in mijn ogen (iron.),

Altijd is de mensheid in kampen verdeeld (geworden & gehouden).

Rijken tegen armen, vrijen tegen slaven en horigen, stad tegen staat,
wijzen tegen dommen, de ene religie tegenover de andere, maar ook binnen religies.

Homo homini lupus est (credits go to Asinaria).

De macht leeft via verdeel en heers, en zo is het hiermee ook.
Het probleem is zo oud als de wereld zelf.

Jodocus Oyevaer

Goed stukje !
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.