Le marché des failles 0-day, ces failles qui ne sont pas connues des fabricants, est « inondé » par les vulnérabilités iOS, selon Zerodium. Si bien que cela a poussé cette société qui achète ces failles à offrir des récompenses plus élevées pour les vulnérabilités Android que pour iOS.
Zerodium verse 2,5 millions de dollars aux chercheurs en sécurité capables de dévoiler comment pirater complètement un terminal Android sans aucune action de l'utilisateur, contre 2 millions de dollars pour le même type d'attaque sur iOS.
Le fondateur de l'entreprise a expliqué à Motherboard que les failles iOS découvertes étaient plus nombreuses que celles sur Android principalement parce que beaucoup de chercheurs s'étaient mis à fouiner à plein temps sur le système d'Apple. Chaouki Bekrar a même affirmé qu'il avait commencé à refuser certaines failles iOS parce qu'il y en avait trop.
Crowdfense, une autre société qui achète des vulnérabilités, a confirmé qu'il y avait eu une augmentation des failles iOS sur le marché, tout en précisant qu'elles n'étaient pas toutes exploitables complètement.
Motherboard note que les récompenses pour les vulnérabilités 0-day iPhone restent néanmoins toujours élevées, celles-ci étant encore relativement peu nombreuses.
Apple a pris des mesures cet été pour que les chercheurs se tournent vers elle plutôt que vers des tiers pour rapporter les failles. Les dotations de son bug bounty ont été largement revues à la hausse (jusqu'à 1 million de dollars au lieu de 200 000 $) et des chercheurs pourront disposer d'iPhone n'intégrant pas toutes les fonctions de sécurité pour faciliter leur analyse, une demande de longue date de leur part.
