Oligur

• ニュース

iOSのゼロデイ脆弱性の最大の購入者の1社は、SafariとiMessageのセキュリティコンポーネントが弱体化したために、市場にはiPhoneの新たなバグが溢れていると述べている。

iOSの脆弱性攻撃に対して200万ドルの賠償金を支払うZerodiumは最近、Androidの脆弱性攻撃に対する賠償金を250万ドルに増額すると発表した。iOSはかつて最も厳重に保護されたモバイルOSだったが、同社によると、Androidのセキュリティは新OSのリリースごとに向上している一方、iOSのセキュリティは緩み、新たな脆弱性攻撃が大量に発生しているという。

「ゼロデイ市場はiOSエクスプロイト、主にSafariとiMessageチェーンで溢れています。これは主に、多くのセキュリティ研究者がiOSエクスプロイトに専心していることが原因です」と、Zerodiumの創設者Chaouki Bekrar氏はオンラインチャットで述べた。「彼らはiOSのセキュリティと緩和策を完全に破壊しました。iOSエクスプロイトがあまりにも多く存在するため、私たちはその一部を拒否し始めています。」

エクスプロイトブローカーのCrowdfenseはViceに対し、セキュリティ研究者はiOSのエクスプロイトで利益を得ようとしているものの、その多くは「正しいもの」を提供していないと語った。最も求められているのは、ユーザーが何も触れずにiPhoneをハッキングできるゼロクリックエクスプロイトだ。ユーザーにリンクをクリックさせるエクスプロイトも価値があるものの、それほど大きな利益は得られない。

Appleは先月、バグ報奨金プログラムを自社の全ソフトウェアプラットフォームに拡大すると発表しました。iPhoneメーカーであるAppleは、ゼロデイ脆弱性の発見に対して100万ドルを支払っています。これは大手テクノロジー企業による最高額ですが、セキュリティ研究者がZerodiumやCrowdfenseに脆弱性を売却して得られる金額と比べると、まだはるかに低い水準です。

iOSがハッキングされやすいソフトウェアになった理由の一つは、Androidの断片化です。あるバージョンのAndroidで有効なエクスプロイトが、別の端末では機能しない可能性があります。一方、iOSデバイスの大多数はiOS 12を搭載しているため、1つのエクスプロイトが数千万台のiOSデバイスで有効になるのです。