Một hãng bảo mật tuyên bố dừng mua lỗ hổng iOS vì cung vượt cầu

Một công ty tư nhân chuyên mua các lỗi bảo mật phần mềm và khai thác từ hacker vừa cho biết rằng, họ sẽ ngừng mua lại các loại lỗi khai thác trên iOS bởi vì đang có quá nhiều.

Theo Appleinsider, Zerodium là một công ty an ninh mạng khá nổi tiếng khi họ trả tiền để có được các lỗ hổng và cách khai thác chúng từ các nhà nghiên cứu bảo mật của bên thứ ba. Trong nhiều trường hợp, số tiền mà Zerodium trả cho các nhà phát triển thậm chí còn cao hơn tiền thưởng từ Apple.

Tuy nhiên, công ty này mới đây vừa cho biết rằng họ sẽ tạm dừng việc mua lại bất kỳ cách khai thác chiếm quyền ưu tiên, đoạn mã thực thi từ xa hay cách vượt qua sandbox của iOS 'trong vòng 2 đến 3 tháng tới do số lượng gửi lên quá cao”. Ngoài ra, công ty cho biết giá cả một số loại lỗ hổng iOS Safari nhất định có thể sẽ giảm trong tương lai gần.

Trong một tweet tiếp theo, người sáng lập Zerodium, Chaouki Bekrar nói rằng bảo mật iOS là 'đáng vứt đi', thêm vào đó là việc thiếu tính thống nhất và một cơ chế bảo mật có tên gọi PAC (pointer authentication codes) là hai điều đang khiến tính bảo mật của iOS “gần như không có”.

Một trong những nguyên nhân dẫn đến việc lỗ hổng bảo mật iOS xuất hiện ngày càng nhiều có lẽ một phần đến từ thế giới đang bị hạn chế đi lại trên toàn cầu do ảnh hưởng từ dịch Covid-19. Do đó, các nhà nghiên cứu bảo mật có nhiều thời gian hơn để mày mò những lỗ hổng này. Một yếu tố khác có thể là do iOS 13 xuất hiện quá nhiều lỗi.

Được biết, đây không phải là lần đầu tiên Zerodium nhìn thấy một số lượng lớn lỗi bảo mật xuất hiện trên iOS. Vào tháng 9 năm 2019, công ty từng cho biết, lần đầu tiên họ phải trả cho các lỗ hổng khai thác Android nhiều tiền hơn iOS do dư thừa nguồn cung.