Ставки повышаются: обладающая чрезвычайно мутной репутацией компания Zerodium снова начала скупать эксплоиты для популярных сервисов задорого. Видимо, поступил крупный заказ со стороны постоянных клиентов – которыми, как почти никто не сомневается, являются хакеры, работающие на то или иное правительство.
В настоящий момент Zerodium готова заплатить до $2 млн (ранее сумма составляла $1,5 млн) за эксплоиты для уязвимостей в iOS, позволяющие удаленно скомпрометировать систему без участия пользователя. За инструменты, требующие минимального взаимодействия с пользователем, исследователи смогут получить $1,5 млн.
Кроме того, компания удвоила сумму выплат за эксплоиты для уязвимостей в мессенджерах WhatsApp, iMessage и SMS/MMS сервисах – до $1 млн. На эксплоитах для браузеров Google Chrome и Safari соискатели могут также неплохо заработать – до $500 тыс. при условии, что их эксплоит предоставит возможность удаленного выполнения кода, повышения прав на системе и выхода из окружения песочницы.
Почти в десять раз Zerodium увеличила и награду за относительно простые хаки – незасвеченные техники обхода PIN-кодов и механизма TouchID на Android- и iOS-устройствах – с $15 тыс. до $100 тыс.
Экспонаты у Zerodium водятся интересные: так, в сентябре компания опубликовала эксплоит, позволяющий выполнить код JavaScript в браузере Tor даже при выставленных максимальных настройках безопасности. По уверениям компании, программа передана на службу правительству, которое, предположительно, использовало ее для «борьбы с преступлениями и насилием над детьми».
АКБ в прошлом году уже писала о Zerodium . Тогда известная своим сотрудничеством с властями компания объявила конкурс для хакеров с призами до $500 тысяч за эксплоиты для уязвимостей нулевого дня в UNIX-системах, таких как OpenBSD, FreeBSD, NetBSD.
До этого в сентябре 2015 года компания Zerodium объявляла конкурс на $1 миллион для хакеров, которые смогут обнаружить 0day в iOS 9 и предоставит эксплоит. 2 ноября приз получила команда, осуществившая удаленный непривязанный джейлбрейк через браузер. Суть эксплоита публично не раскрывалась, сама Apple традиционно такие вещи не комментирует.
Компания Zerodium была создана Чауки Бекраром в 2015 году, она предлагает самые щедрые в мире призы за обнаружение уязвимостей нулевого дня. Zerodium не скрывает, что затем перепродает эксплоиты правительственным агентствам и правоохранительным органам, а тематика конкурсов формируется из запросов клиентов.