Android-exploits voor het eerst meer waard dan iOS-exploits

Zerodium, een bedrijf dat beweert software-exploits te kopen en deze vervolgens doorverkoopt aan overheids- en wetshandhavingsinstanties, heeft zijn prijzen voor Android-exploits verhoogd. Deze zijn voor het eerst meer waard dan iOS-exploits.

Volgens Zerodium kunnen Android-exploits die geen interactie van de gebruiker vereisen hackers en beveiligingsonderzoekers tot 2,5 miljoen dollar opleveren. Voor gelijkaardige iOS-exploits ligt het maximumbedrag rond 2 miljoen dollar. Afgelopen jaar bood het bedrijf maximaal 200.000 dollar voor Android-exploits en exploits met een lagere impact gingen al voor enkele duizenden dollars over de toonbank.

Bovendien verhoogt Zerodium ook de uitbetalingen voor exploits in chatapplicaties, ongeacht het besturingssysteem dat ze gebruiken. Zo is een exploit-keten die bestaat uit een zero-click Remote Code Execution (RCE)-bug en een Local Privilege Escalation (LPE) in WhatsApp of iMessage momenteel zo’n 1,5 miljoen dollar waard. De prijs daalt naar 1 miljoen dollar voor WhatsApp en 500.000 dollar voor iMessage als gebruikersinteractie vereist is.

Android 10

Het bedrijf komt met zijn nieuwe prijslijst naar buiten op hetzelfde moment dat Google Android 10 officieel vrijgeeft. Volgens Chaouki Bekrar, CEO van Zerodium, zijn de prijsverhogingen in overeenstemming met markttendensen. Klanten zouden steeds vaker om specifieke exploit-ketens vragen, waarop het bedrijf simpelweg reageert door de prijzen te verhogen. Je zou dus kunnen stellen dat wereldwijd wetshandhavingsinstanties en overheidsinstanties plots meer interesse tonen in het verwerven van software-exploits voor Android-apparaten.

Bekrar beweert dat het bedrijf zich voornamelijk concentreert op Google-, Samsung-, Huawei- en Sony-apparaten, maar dat exploits voor andere merken ook worden geaccepteerd. Exploits voor iOS worden soms dan weer geweigerd. “De afgelopen maanden hebben we een toename van het aantal iOS-exploits waargenomen, voornamelijk voor Safari en iMessage. Deze worden ontwikkeld en verkocht door onderzoekers van over de hele wereld. De zero-day-markt wordt inmiddels zo overspoeld met iOS-exploits,  dat we begonnen zijn ze te weigeren”, stelt de CEO tegenover ZDNet.

Betere Android-beveiliging

“Anderzijds verbetert de Android-beveiliging met elke nieuwe release van het besturingssysteem, dankzij de beveiligingsteams van Google en Samsung. Het werd dus erg moeilijk en tijdrovend om volledige exploit-ketens voor Android te ontwikkelen. Bovendien is het nog moeilijker om zero-click exploits te ontwikkelen, die geen gebruikersinteractie vereisen”, gaat de CEO verder.

Bekrar is dan ook van mening dat, gezien nieuwe, technische uitdagingen met betrekking tot Android-beveiliging en markttrends, de tijd daar is om de hoogste premies toe te wijzen aan Android-exploits. “Dat alles totdat Apple de beveiliging van iOS opnieuw verbetert en de zwakste onderdelen, iMessage en Safari (Webkit en sandbox), versterkt.” 

Gerelateerd: Windows-exploit voor ernstige BlueKeep-bug commercieel beschikbaar