0
Zerodium is toegenomen de financiële beloning voor onderzoekers die in te dienen geldig zero-day gebreken met de invoering van een nieuwe tariefstructuur.
De premie exploiteren verkoper is vooral geïnteresseerd in het krijgen van haar handen op onbekende kwetsbaarheden die gebruikt kan worden om te exploiteren populaire messaging apps, zoals iMessage, Telegram, WhatsApp, Signaal, Facebook, Viber, en WeChat, naast de traditionele SMS – /MMS-berichten.
Te dien einde, Zerodium is bungelende een financiële wortel met een waarde tot $500.000, – voor iedere zero-day exploit.
“Zerodium betaalt premie premies en beloningen te beveiligingsonderzoekers te verkrijgen van hun oorspronkelijke en eerder ongemelde zero-day-onderzoek van invloed zijn belangrijke besturingssystemen, software en apparaten,” het bedrijf zegt. “Terwijl de meerderheid van de bestaande bug bounty ‘programma’ s aanvaarden van bijna elke vorm van kwetsbaarheden en PoCs, maar betaalt zeer lage beloningen, op Zerodium wij richten ons op een hoog-risico kwetsbaarheden met een volledig functionele exploits, en wij betalen de hoogste beloningen op de markt.”
De veranderingen die zich vooral richten op mobiele applicaties. Samen met de messaging-app beloningen, $500,000 is ook bieden tegen zero-days invloed op een scala van applicaties e-mail, of ze worden lokale privilege escalation gebreken (LPEs) of tot uitvoering van externe code (RCE).
Daarnaast 150.000 dollar te bieden voor exploits invloed baseband frequenties, media bestanden en documenten, en wil het bedrijf ook te horen over de sandbox-ontsnapt, code signing bypass en andere mobiele exploits.
Apple kwetsbaarheden zijn nog steeds in hoge vraag, zo lijkt het. Bijna een jaar geleden, de exploit verkoper verdrievoudigd zijn beloning voor het Apple iOS-10 RCEs, en Zerodium is nog steeds het aanbieden van $1,5 miljoen voor externe jailbreaks en vasthoudendheid zonder interactie van de gebruiker.
Het bedrijf is ook bereid om te betalen tot $1 miljoen voor een iOS-jailbreak, die moet de interactie van de gebruiker, zoals het klikken op een kwaadaardige link of bestand.
Zerodium heeft ook uitgebreid de exploit overname programma met een set van nieuwe items voor servers en desktops. In totaal tot $300,000 is voor zero-day gebreken in dit veld afhankelijk van het systeem. Windows 10 RCEs zijn de meest waardevolle, maar zero-dagen voor de Apache Web Server op Linux, Microsoft Outlook, Mozilla Thunderbird, en VMware ESXi, onder anderen, zijn ook gewild.
Daarnaast heeft het bedrijf ging betalingen voor Google Chrome RCEs van $80.000 tot 150.000 dollar.
De eigen exploiteren afzetmarkt is vaag op zijn best. Als een verkoper, je kunt nooit zeker weten waar de kwetsbaarheid zal eindigen — of hoe het zal worden gebruikt. Als onderzoekers verslag van hun kwetsbaarheden rechtstreeks aan een verkoper, kunnen ze er zeker van zijn dat — uiteindelijk, ten minste in de meeste gevallen — de kwetsbaarheid zal worden vastgesteld, het beschermen van hun eigen apparaat of de software zo goed als anderen.
Tech leveranciers niet concurreren met de zwarte markt of privé exploiteren verkopers als het gaat om prijs, maar maak gebruik van de idee dat onderzoekers willen eigenlijk iets goeds te doen en de beveiliging van systemen uit te exploiteren.
Als particulier verkocht exploits worden verkocht, echter, onderzoeker van de controle over een ontdekking verdwijnt ook. De financiële beloning kan veel hoger zijn, maar de exploit in vraag zou kunnen eindigen in de handen van privé-bedrijven, handhaving van de wet, – of minder-dan-respectabele overheid programma ‘ s gewijd aan het publieke toezicht.
Als voorbeeld, wanneer Apple weigerde om te helpen de rechtshandhaving in het breken van een verdachte die de iPhone, de FBI betaalt dan een eigen vennootschap voor een exploit die werkte op dat specifieke model. Een rechtszaak aangespannen tegen Apple in een poging om de kracht van de onderneming van de samenwerking is dan gedaald.
Spreken Threatpost, Zerodium oprichter Chaouki Bekrar zei dat het bedrijf de klanten van de overheid zijn in de behoefte van zero-day exploits die hen in staat stellen om te controleren criminelen met behulp van secure messaging-toepassingen.
“De hoge waarde van de zero-day exploits voor dergelijke apps is afkomstig van zowel een hoge vraag van klanten en een kleine aanval oppervlak in deze apps waardoor de ontdekking en exploitatie van kritieke bugs grote uitdaging voor de onderzoekers van de veiligheid,” Bekrar zei.
Verwante dekking
Nu kunt u verdienen $1,5 miljoen voor het hacken van de iPhone Exploiteren makelaar steelt Apple donder, biedt $500.000 voor iOS nul dagen Grote ‘zero-day’ ransomware aanvallen stakingen UCL-campus
Meer nieuws over beveiliging
Android Oreo: Google heeft zojuist app installeert van onbekende bronnen een stuk veiliger
Steken vruchten aan het breken van de schedel: Robot bugs maken hacken te makkelijk
Ministerie van justitie wijzigt verzoek om gegevens van anti-Trump site
Cryptocurrency mijnwerker malware is het tot slaaf maken Pc ‘ s met EternalBlue
0