Plateforme d'achat (auprès de chercheurs en sécurité) et revente (à des clients gouvernementaux) de vulnérabilités de sécurité et 0day, Zerodium a décidé de tourner le dos à de nouveaux exploits pour iOS et Safari.

Au cours des deux à trois prochains mois, Zerodium n'achètera plus de nouvelles vulnérabilités d'élévation de privilège en local pour iOS, d'exécution de code à distance pour le navigateur Safari ou pour un échappement de sandbox.

La raison ? Zerodium serait confronté à un nombre trop élevé de propositions avec de tels vecteurs d'attaque. Il faudrait en outre s'attendre à une baisse des prix pour l'exploitation séquentielle en un clic de plusieurs vulnérabilités sans persistance, par exemple via Safari.

Fondateur de Zerodium, Chaouki Bekrar utilise un vocabulaire plus direct en déclarant que la sécurité d'iOS est… foutue. Elle devrait encore son salut à PAC et la non-persistance. " Or, nous voyons de nombreux exploits contournant PAC et il y a quelques exploits de persistance (0day) fonctionnant avec tous les iPhone et iPad. Espérons que iOS 14 sera meilleur. "

PAC (Pointer Authentication Codes) est une mesure d'atténuation contre des exploitations implémentée dans des puces à architecture ARM et pour des instructions d'authentification de pointeurs afin d'en vérifier l'intégrité.

Ce n'est pas la première fois que Zerodium sème le trouble concernant iOS. L'année dernière, la plateforme controversée avait surpris en accordant pour la première fois davantage d'intérêt aux 0day exploitables pour Android que pour iOS. Une technique complète de piratage sans interaction de l'utilisateur et persistante pour Android est ainsi rémunérée 2,5 millions de dollars !