Знаменательный день в истории: компания Zerodium, занимающаяся скупкой эксплойтов и перепродажей их властям, впервые в истории предлагает больше денег за 0-day в Android, чем за схожие проблемы в iOS.
Zerodium предлагает исследователям выплату в размере до $2,5 млн за «мощные» эксплоиты для уязвимостей в мобильной операционной системе Android. Такая значительная сумма предлагается за полную цепочку эксплуатации, обеспечивающую персистентность и не требующую взаимодействия с пользователем.
Эксплоит аналогичного типа для iOS компания оценила в сумму до $2 млн. Компания также предлагает исследователям до $500 тыс. за эксплоиты или методы, которые можно использовать для достижения персистентности на устройстве под управлением iOS.
Максимальные выплаты за уязвимости удаленного выполнения кода и локального повышения привилегий в WhatsApp (Android- и iOS-версии) и iMessage в настоящее время составляют $1,5 млн и $1 млн соответственно. Эксплоиты в этой категории не обязаны обеспечивать персистентность, но должны работать без взаимодействия с пользователем.
По всей видимости, компания приурочила повышение цен к выходу Android 10, релиз которой состоялся буквально несколько часов назад. Представители Google пока никак не прокомментировали решение Zerodium.
Источник: https://www.anti-malware.ru/news/2019-09-04-1447/30657
Компания Zerodium была создана Чауки Бекраром в 2015 году, она предлагает самые щедрые в мире призы за обнаружение уязвимостей нулевого дня. Zerodium не скрывает, что затем перепродает эксплоиты правительственным агентствам и правоохранительным органам, а тематика конкурсов формируется из запросов клиентов.
Эксперты АКБ ранее неоднократно писали об этой конторе:
Zerodium отстегнет $500 тысяч за дыры в облачных технологиях
Миллион долларов на кону: Zerodium готовы купить эксплоиты для WhatsApp и iMessage
Zerodium заплатит $500 тысяч за уязвимость нулевого дня в UNIX и Linux