Nhà môi giới khai thác Zero-day Zerodium đã tăng một lần nữa các khoản thanh toán mà họ cung cấp cho hầu hết các máy tính để bàn / máy chủ và khai thác trên thiết bị di động.
Bản bẻ khóa từ xa iOS “không nhấp chuột” hiện có giá $2 triệu, khai thác thực thi mã từ xa WhatsApp, iMessage hoặc SMS / MMS với giá $1 triệu và một mã PIN / mật mã cục bộ hoặc bỏ qua Touch ID cho Android hoặc iOS với giá 100.000 đô la.
Các thay đổi lớn khác đối với các khoản thanh toán được hiển thị trong bảng này:
“Công ty cũng lưu ý rằng họ có thể trả phần thưởng cao hơn cho” những thành tích và nghiên cứu đặc biệt. “
Mua và bán khai thác zero-day
Zerodium được thành lập vào năm 2015 bởi Chaouki Bekrar, người trước đây đã thành lập và điều hành Vupen Security, một trang thông tin điện tử chuyên phát hiện các lỗ hổng zero-day để bán chúng cho các cơ quan thực thi pháp luật và tình báo.
Mô hình kinh doanh của Zerodium khác biệt: nó thu thập các lỗ hổng / khai thác trong zero-day từ các nhà nghiên cứu bảo mật độc lập, xác nhận và ghi lại chúng, sau đó báo cáo chúng (cùng với các biện pháp bảo vệ và khuyến nghị bảo mật) cho khách hàng của mình. Công ty nói rằng một số lượng rất hạn chế được kiểm tra, chủ yếu là các tổ chức chính phủ được tiếp cận thông tin.
Công ty không phải là nhà môi giới lỗ hổng / khai thác duy nhất ở đó, nhưng nó là công ty đầu tiên tiết lộ công khai giá của các hình thức khai thác khác nhau và chia sẻ các tiêu chí họ sử dụng để xác định chúng.
Đương nhiên, các lỗ hổng có nguy cơ cao ảnh hưởng đến các hệ điều hành và phần mềm được sử dụng rộng rãi có giá cao nhất. Nếu chúng đi kèm với một khai thác đáng tin cậy hoạt động trên hầu hết các phiên bản, không yêu cầu tương tác của người dùng và có thể được triển khai từ xa, giá sẽ đạt mức cao nhất.
Việc tăng giá của Zerodium dường như cho thấy ngày càng khó khai thác các lỗ hổng trong một số hệ điều hành và ứng dụng.
Thực tế là việc khai thác cho các thiết bị riêng lẻ có giá tốt hơn so với các thiết bị cho máy chủ dường như xác nhận tuyên bố của công ty mà họ bán hầu hết cho các cơ quan thực thi pháp luật và chính phủ (để giám sát có mục tiêu). Mức giá cao cho việc khai thác ứng dụng nhắn tin cũng chỉ ra rằng: việc phá vỡ các biện pháp bảo vệ an ninh của chúng mà không gây rối với phần còn lại của thiết bị khiến nỗ lực giám sát của những kẻ tấn công khó bị phát hiện hơn, cả ngay lập tức và lâu dài.
Nguồn: helpnetsecurity
