圖片來源: 

Zerodium於2019年9月3日發布之資料

Android過去因為安全性不如iOS,攻擊程式在市面(或黑市)的價格也較低。但一家專賣駭客工具的廠商Zerodium最近公佈最新價格表,Android攻擊程式首度比iOS攻擊程式更值錢。而針對加密通訊程式WhatsApp及iMessage的攻擊程式也更有價值了。

根據新的價格表,該公司新增針對Android平台的零點擊(Zero-Click)、具長期滲透能力的Android完整攻擊鏈,喊價最高250萬美元。而類似的攻擊鏈在iOS最高則為200萬美元。這令人咋舌的價格不但是Android首度超過iOS,也是去年價格的12倍。

此外,Zerodium也調漲了WhatsApp及iMessage零點擊攻擊程式的要價,由去年的100萬漲到最高150萬美元。另一方面,一次點擊(1-click)的iOS完整攻擊鏈及針對iMessage的遠端程式碼執行(RCE)以及本地權限升級(LPE)攻擊程式,則分別降為100萬和50萬美元。

該公司表示,此次變更乃根據「市場趨勢」。過去由於iPhone手機升級到最新版比例較Android來得高,加上所有用戶使用的是相同硬體,有助於蘋果確保安全性,也提升駭客攻擊的難度及成本,相較之下,Android手機廠商眾多,用戶端升級普遍遲緩,攻擊起來比較容易。因此過去Zerodium或其他廠商、黑市出售的iOS平台駭客工具,都比Android攻擊工具來得貴。但是這也造成iOS攻擊程式「供應面」更飽和,促使價格下探。

另一方面,在Google、三星的努力下,Android安全性逐漸提升,使Android裝置的攻擊更難也更費時。另一個原因在於客戶對特定攻擊鏈的需求增加。這意謂著該公司主要客戶群包括世界各國政府、警方駭入Android手機的興趣忽然激增。廠商表示,Google、三星、華為、Sony是其研究的主要目標。 


Advertisement

更多 iThome相關內容