抱怨iOS漏洞“过剩”，Zerodium停止购买

漏洞收购公司Zerodium本周宣布，由于过剩，它不再购买某些类型的iOS漏洞，该公司预计价格在不久的将来会下降。

Zerodium在Twitter上表示，在接下来的2-3个月内，它将不再获得iOS本地权限提升、Safari远程代码执行和沙盒逃逸漏洞，“因为与这些向量相关的提交数量很高”。

该公司表示，预计不提供持久性的一键利用链的价格将会下降。

Zerodium首席执行官兼创始人Chaouki Bekrar在推特上表示，只有指针验证码(PAC)-它们提供保护，以防内存中指针发生意外变化-以及实现持久性的困难“阻止了(iOS安全)走向零”。

贝克拉尔说：“iOS安全已经完蛋了。”他指出，他们已经看到了许多旨在绕过PAC的漏洞，以及一些可以帮助攻击者在所有iPhone和iPad上实现持久性的零日漏洞。“让我们希望iOS14会变得更好，”他补充说。

贝克拉尔在接受“安全周刊”采访时表示：“iOS和Android漏洞的需求一直很高，但由于开发过程中面临的技术挑战，供应量很低。然而，在过去的几个月里，我们观察到iOS提交的数量激增(特别是Safari远程代码执行、沙盒逃逸和权限提升)，我们被迫做出反应，首先降低了价格，现在我们在接下来的两到三个月里暂停了对这些功能的购买。”(注：这句话的意思是：“在过去的几个月里，我们观察到iOS和Android漏洞的提交数量激增(特别是Safari远程代码执行、沙盒逃逸和权限提升)，但由于这些漏洞开发过程中面临的技术挑战，我们的供应量很低。”

“这一峰值很可能是因为调查iOS的研究人员数量增加了，也可能是因为公共越狱的可用性，这有助于研究人员更容易地对iOS设备进行反向工程，更快地找到漏洞。”另一方面，安卓提交的数量保持稳定，“贝克拉尔说。

根据其网站，Zerodium准备支付高达200万美元的价格，购买实现持久性且不需要用户交互的iOS利用链。另一方面，针对Android的同类攻击价值高达250万美元。

在过去的一年里，苹果已经修补了许多iOS漏洞，包括那些可能被利用来远程攻击iPhone的漏洞。

这家科技巨头正在运行一项公开的漏洞赏金计划，通过该计划，它准备支付高达100万美元的资金，用于实现持久性、绕过PAC并且不需要用户交互的漏洞。