Plateforme d'achat (auprès de chercheurs en sécurité) et revente (à des clients gouvernementaux) de vulnérabilités de sécurité et 0day, Zerodium a décidé de tourner le dos à de nouveaux exploits pour iOS et Safari.
Au cours des deux à trois prochains mois, Zerodium n'achètera plus de nouvelles vulnérabilités d'élévation de privilège en local pour iOS, d'exécution de code à distance pour le navigateur Safari ou pour un échappement de sandbox.
La raison ? Zerodium serait confronté à un nombre trop élevé de propositions avec de tels vecteurs d'attaque. Il faudrait en outre s'attendre à une baisse des prix pour l'exploitation séquentielle en un clic de plusieurs vulnérabilités sans persistance, par exemple via Safari.
We will NOT be acquiring any new Apple iOS LPE, Safari RCE, or sandbox escapes for the next 2 to 3 months due to a high number of submissions related to these vectors.
— Zerodium (@Zerodium) May 13, 2020
Prices for iOS one-click chains (e.g. via Safari) without persistence will likely drop in the near future.
Fondateur de Zerodium, Chaouki Bekrar utilise un vocabulaire plus direct en déclarant que la sécurité d'iOS est… foutue. Elle devrait encore son salut à PAC et la non-persistance. " Or, nous voyons de nombreux exploits contournant PAC et il y a quelques exploits de persistance (0day) fonctionnant avec tous les iPhone et iPad. Espérons que iOS 14 sera meilleur. "
iOS Security is fucked. Only PAC and non-persistence are holding it from going to zero...but we're seeing many exploits bypassing PAC, and there are a few persistence exploits (0days) working with all iPhones/iPads. Let's hope iOS 14 will be better.https://t.co/39Kd3OQwy1
— Chaouki Bekrar (@cBekrar) May 13, 2020
PAC (Pointer Authentication Codes) est une mesure d'atténuation contre des exploitations implémentée dans des puces à architecture ARM et pour des instructions d'authentification de pointeurs afin d'en vérifier l'intégrité.
Ce n'est pas la première fois que Zerodium sème le trouble concernant iOS. L'année dernière, la plateforme controversée avait surpris en accordant pour la première fois davantage d'intérêt aux 0day exploitables pour Android que pour iOS. Une technique complète de piratage sans interaction de l'utilisateur et persistante pour Android est ainsi rémunérée 2,5 millions de dollars !