Android过去因为安全性不如iOS,攻击程序在市面(或黑市)的价格也较低。但一家专卖黑客工具的厂商Zerodium最近公布最新价格表,Android攻击程序首度比iOS攻击程序更值钱。而针对加密通信程序WhatsApp及iMessage的攻击程序也更有价值了。
根据新的价格表,该公司添加针对Android平台的零点击(Zero-Click)、具长期渗透能力的Android完整攻击链,喊价最高250万美元。而类似的攻击链在iOS最高则为200万美元。这令人咋舌的价格不但是Android首度超过iOS,也是去年价格的12倍。
此外,Zerodium也上调了WhatsApp及iMessage零点击攻击程序的要价,由去年的100万涨到最高150万美元。另一方面,一次点击(1-click)的iOS完整攻击链及针对iMessage的远程程序代码执行(RCE)以及本地权限升级(LPE)攻击程序,则分别降为100万和50万美元。
该公司表示,此次变更乃根据“市场趋势”。过去由于iPhone手机升级到最新版比例较Android来得高,加上所有用户使用的是相同硬件,有助于苹果确保安全性,也提升黑客攻击的难度及成本,相较之下,Android手机厂商众多,用户端升级普遍迟缓,攻击起来比较容易。因此过去Zerodium或其他厂商、黑市出售的iOS平台黑客工具,都比Android攻击工具来得贵。但是这也造成iOS攻击程序“供应面”更饱和,促使价格下探。
另一方面,在Google、三星的努力下,Android安全性逐渐提升,使Android设备的攻击更难也更耗时。另一个原因在于客户对特定攻击链的需求增加。这意味着该公司主要客户群包括世界各国政府、警方黑入Android手机的兴趣忽然激增。