Objavljeno: 4.9.2019 11:00

Varnostne luknje za Android po novem več vredne kot za Apple iOS

Dolga leta je veljalo, da je še ne odkrito varnostno luknjo (t.i. »zero day«) za Applov sistem iOS lažje drago prodati, kot tisto za Android. Vendar se časi spreminjajo – cene za tovrstne luknje za Android danes segajo celo do dveh milijonov dolarjev in več!

Podjetje Zerodium, ki od hekerjev in varnostnih strokovnjakov odkupuje take varnostne ranljivosti (in jih prodaja varnostnim organom držav, ti pa z njimi počnejo, hm, saj vemo kaj…) je prejšnji teden objavilo, da za popolnoma tiho in skrito ranljivost v sistemu Android, ki samodejno prevzame uporabnikov telefon, ponuja kar 2,5 milijona dolarjev. To je najvišja ponudba za katerokoli varnostno ranljivost kadarkoli in 500.000 dolarjev več, kot znaša ponudba za vdor v Applov iPhone, oz. sistem iOS.

Po besedah predstavnikov Zerodiuma razlog tiči v tem, da je varnostnih ranljivosti za iOS vse več, zato je ponudba znižala ceno. Po drugi strani pa, da je resnih ranljivosti za Android vse manj, predvsem zaradi naporov, ki jih v to smer vlaga Google, pa tudi zaradi odprtokodne narave Androida, ko kodo pregleduje veliko večja množica ljudi. Koda iOS je skrbno varovana skrivnost, zato zunanjega vpogleda vanjo ni.

Seveda je razlog tudi v razširjenosti Androida, saj je z varnostno ranljivostjo zanj mogoče vdreti v veliko več telefonov, kot z ranljivostjo za iPhone/iOS. Po podatkih podjetja Statcounter je na svetovni ravni razmerje med uporabniki Android in iOS kar 76 proti 22 odstotkov.

Verjetno pa je nekaj resnice tudi v opozorilih nekaterih, da se podjetje Zerodium s takimi objavami le samooglašuje in si tako zvišuje vrednost, saj v resnici ne vemo ali so take vrtoglave vsote že komurkoli tudi zares izplačali.

 

Ali je prekupčevanje z ranljivostmi legalno?

Nepooblaščeno vdiranje v računalniške sisteme je v vsem razvitem svetu prepovedano, tudi pri nas. Slovenski kazenski zakon pa ima tudi zanimiv 306. člen, ki prepoveduje izdelovanje, posest, prodajo, uvoz, izvoz in ostale oblike zagotavljanja pripomočkov za vdor v informacijski sistem, če to počnemo z namenom storiti kaznivo dejanje. Sodne prakse na tem področju v Sloveniji ni.

V ZDA, ki je največji trg programske opreme in tudi ranljivosti, je prodaja informacij o znanih ranljivostih načelno zakonita, a obstaja cel kup izjem. Če ranljivost prodamo nekomu, ki namerava z njo storiti kaznivo dejanje (in v resnici je ranljivosti težko uporabljate kako drugače), je to nezakonito.

Prav tako ni zakonito vdiranje ali izsiljevanje. Kdor odkrije ranljivost in z njo potrka na vrata proizvajalca z zahtevo po nekem znesku (četudi je ta povsem razumen), se hitro lahko znajde v obtožnici za izsiljevanje. Prav tako lahko hekerji hitro prestopijo mejo zakona pri iskanju ranljivosti. Analiza kupljenih programov na lastnih računalnikih je dopustna, aktivno iskanje lukenj v postavljenih tujih sistemih pa seveda predstavlja vdor. Etično in najvarneje je odkrite ranljivosti prijaviti proizvajalcu v skladu z njegovim programom nagrajevanja. Prav tako je nezakonita prodaja narejenih orodij (exploit kits) za vdiranje v računalniške sisteme ali povzročanje škode.

Enostavnega odgovora ni tudi zato, ker lahko prodajalca preganja več držav: država, katere državljan je, država, v kateri izvede prodajo, in država, v kateri je tarča.

(zadnje poglavje je bilo prvič objavljeno v članku (Varnostne) luknje naprodaj v posebni poletni številki Monitorja)

Več novic

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Najbolj brano

  • Podjetja nočejo Copilota, ker zaposleni raje uporabljajo ChatGPT

    Microsoft kljub velikim naporom (beri: finančnemu vložku) podjetjem težko proda storitve umetne inteligence Copilot.

    Objavljeno: 27.6.2025 09:00
  • Android vam bo povedal, ali vam policija prisluškuje

    Čedalje popularnejši način prisluškovanja in prestrezanja podatkov z mobilnih telefonov je uporaba lažnih baznih postaj (IMSI catcher), ki jih imajo organi pregona v nekaterih državah, lahko pa tudi drugi akterji. Na takšno napravo se povežejo vsi telefoni v okolici, saj njen signal preglasi legitimne bazne postaje, upravljavec pa potem zlahka prestreza komunikacijo. Uporabnik tega početja praktično ne more zaznati.

    Objavljeno: 1.7.2025 07:00
  • Kitajski prenosniki so dve leti za zahodnimi

    Čeprav se Kitajci močno trudijo in izdatno investirajo v domači razvoj in proizvodnjo čipov, so še vedno vsaj dve generaciji za zahodnimi izdelki. To izkazuje tudi najnovejši Huaweijev prenosnik MateBook Fold Ultimate, ki poganja lastni HarmonyOS in ima same kitajske komponente. A te v primerjavi z zahodnimi zaostajajo.

    Objavljeno: 25.6.2025 07:00
  • Pametna očala s samodejnim ostrenjem bi lahko nadomestila bifokalna stekla

    Finsko podjetje IXI razvija inovativna očala z lečami, ki se samodejno ostrijo glede na pogled uporabnika. 

    Objavljeno: 23.6.2025 10:00 | Teme: pametna očala
  • Teslini samovozeči taksiji ne znajo voziti

    Prvi dnevi Teslinih robotskih taksijev so polni napak, vožnje po napačni strani ceste, nenadnih zaviranj in nevarnih ustavljanj za odlaganje potnikov.

    Objavljeno: 26.6.2025 09:00
  • HDMI 2.2 je tu!

    Sicer na papirju, a vendarle. HDMI Forum je izdal končne specifikacije standarda HDMI 2.2, ki so ga izdatno opisovali in predstavljali že na januarskem sejmu CES. HDMI 2.2 ima že večjo prepustnost kot DisplayPort, a bo zanjo zahteval nove kable Ultra96.

    Objavljeno: 27.6.2025 05:00
 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji