Компания Zerodium, которую называют одним из наиболее известных брокеров уязвимостей, объявила об увеличении сумм выплат за инструменты для взлома iMessage и компрометацию всего iPhone.
Zerodium увеличила суммы вознаграждений за следующие уязвимости нулевого дня:
- $2 млн. (вместо $1,5 млн.) за удаленный джейлбрейк iOS, позволяющий скомпрометировать систему без участия пользователя.
- $1,5 млн. (вместо $1 млн.) за удаленный джейлбрейк, требующий минимального взаимодействия с пользователем.
- $1 млн. (вместо $500 тыс.) за уязвимости в приложении iMessage.
- $500 тыс. (вместо $200 тыс.) за уязвимости браузера Safari с возможностью удаленного выполнения кода, выхода из окружения песочницы, повышения прав в системе.
- $200 тыс. (вместо $100) за локальное повышение привилегий для ядра или root в iOS.
- $100 тыс. (вместо $15 тыс.) за техники обхода PIN-кодов и механизма Touch ID в iOS.
Удалённый джейлбрейк — практически полный взлом iPhone, дающий хакеру доступ к файловой системе, что открывает неограниченные возможности для кражи данных и управления устройством.
Уязвимость нулевого дня или 0-day — ошибки в ПО или вредоносные механизмы воздействия, против которых еще не разработаны эффективные меры. Сам термин означает, что у разработчиков было 0 дней на исправление дефекта: уязвимость или атака становится публично известна до момента выпуска производителем ПО исправлений ошибки. Хакеры могут использовать уязвимость в своих личных целях или же для разработки джейлбрейка.
Бизнес-модель Zerodium довольно специфична. Компания специализируется на скупке и перепродаже эксплойтов в программном обеспечении. Причем, действует в интересах правительственных служб по всему миру. Она хранит в тайне данные о найденных самостоятельно или купленных у третьих лиц способах взлома различных программ. А затем перепродает секретную информацию правительству, силовым структурам и крупным компаниям.
Zerodium постоянно подвергается жестокой критике, но, от своих принципов не отказывается. Основатель компании Чауки Бекрар (Chaouki Bekrar), считает, что возможность получения удаленного доступа к различным приложениям помогает спецслужбам работать эффективнее.
Разработчики, обнаружив ту либо иную уязвимость, не спешат делиться информацией о своей находке с представителями компании, чье ПО было скомпрометировано. Вознаграждение Zerodium обычно существенно выше, чем выплаты IT-корпораций. К примеру, в 2016 году Apple тоже запускала собственную программу безопасности для выявления уязвимостей нулевого дня. Но большинство хакеров эту инициативу проигнорировали. Apple предлагала только $200 тыс. за серьезную уязвимость, которую на черном рынке оценили бы гораздо выше.
Хакеров не может не привлекать и оперативность, с какой Zerodium проверяет найденные эксплойты и выплачивает за них вознаграждение. На сайте компании указано:
«Zerodium оценивает и проверяет все представленные исследования в течение одной недели или меньше. Выплаты осуществляются одним или несколькими платежами по безналичному расчету или в криптовалютах, таких как Bitcoin или Monero. Первый платеж отправляется в течение одной недели или меньше».
Источник: Zerodium
