Авторизация  
Ferji

Zerodium предлагает $500 000 за 0-day в безопасных мессенджерах

В теме 1 сообщение


Компания Zerodium, занимающаяся условно легальной торговлей эксплойтами, опубликовала обновленный прейскурант с указанием цен на различные уязвимости. В числе прочего, весьма внушительная премия объявлена за уязвимости нулевого дня в безопасных мессенджерах: 0-day уязвимости в Telegram, WhatsApp, Signal, Facebook Messenger, iMessage и WeChat, связанные с удаленным выполнением кода и локальным повышением привилегий, оценены в $500 000.



Безопасные мессенджеры уже некоторое время остаются одним из центральных элементов в дискуссии спецслужб и государств с одной стороны и пользователей, не желающих поступаться конфиденциальностью переписки, с другой стороны. Пика это противостояние достигло в прошлом году, когда FBI настаивало на том, что Apple должна обойти собственные механизмы безопасности, чтобы помочь разблокировать Айфон террориста. Напомним, Apple отказалась помочь Бюро, в итоге же ФБР справилось со взломом смартфона своими силами.



Zerodium занимается покупкой уязвимостей нулевого дня, после чего предоставляет своим клиентам созданные на основе этих уязвимостей эксплойты и защитные решения. Компания не делится найденными уязвимостями с разработчиками софта, в котором баги найдены — соответственно, уязвимости так и остаются не пропатченными. Разумеется, разработчикам это не очень-то нравится. Основатель компании Чауки Бекрар (Chaouki Bekrar) всегда упирает на то, что Zerodium, а также предыдущая основанная им компания, VUPEN, ведут дела исключительно демократическими, не находящимися под санкциями государствами.



Основные изменения в опубликованном прейскуранте сфокусированы на мобильных операционных системах. Кроме вышеупомянутой награды за мессенджеры, Zerodium предлагает до $500 000 за удаленное выполнение кода и локальное повышение привилегий в штатных почтовых приложениях для iOS и Android. Немного более скромное вознаграждение, до $150 000, объявлено за уязвимости того же типа в частях ОС, отвечающих за обработку медиа файлов и документах, а также за работу с сотовыми сетями. Наконец, до $100 000 могут выплатить за побег из песочницы, обход цифровой подписи кода, уязвимости в SS7 и некоторые другие баги.



Бекрар рассказал Threatpost, что государства-клиенты Zerodium имеют большую потребность в уязвимостях, которые позволили бы им следить за преступниками, использующими безопасные мессенджеры. «Высокая ценность уязвимостей нулевого дня в подобных приложениях обусловлена высокой востребованностью их у наших клиентов. Также играет роль то, что поверхность атаки таких приложений невелика — из-за этого исследователям нелегко находить и эксплуатировать уязвимости в мессенджерах,» — сказал Бекрар.



Мы попросили прокомментировать эту новость создателя Signal Мокси Марленспайка (Moxie Marlinspike), а также компании Facebook и WhatsApp, но на момент публикации новости ответ мы не получили.



Также Zerodium анонсировала премию в $300 000 за 0-day с удаленным выполнением кода в Windows, в частности экспорты, позволяющие использовать стандартные службы Windows, такие как SMB и RDP. Уязвимости в веб-серверах, в частности в Apache для Linux и Microsoft IIS для Windows, оценены в $150 000, а уязвимость в Outlook — в $100 000.



Также Zerodium удвоил (или почти удвоил) премию за атаки на Chrome, PHP и OpenSSL. А удаленное выполнение кода в Tor-браузере для Linux или Windows подорожало более чем втрое: с прежних $30 000 до $100 000.



Примерно год назад Zerodium утроила награду за удаленный джейлбрейк iOS 10 — до $1 500 000. Около двух лет назад компания приобрела широкую известность после того, как объявила награду в $1 000 000 за подобную уязвимость в iOS 9



Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация