0
Zerodium har ökat den ekonomiska belöning för forskare som lämnar in giltigt zero-day brister i och med införandet av en ny prissättningsstruktur.
Premien utnyttja säljaren är särskilt angelägna om att få sina händer på okända sårbarheter som kan användas för att utnyttja populära apps meddelanden, som iMessage, Telegram, WhatsApp, Signal, Facebook, Viber, och WeChat, tillsammans med traditionella SMS/MMS.
För detta ändamål, Zerodium dinglar en ekonomisk morot värda upp till $500 000 kronor till varje arbetande zero-day exploit.
“Zerodium betalar premien för gåvor och belöningar till säkerhet för forskare att skaffa sig sin ursprungliga och tidigare ej redovisad zero-day forskning som rör större operativsystem, program och enheter,” bolaget säger. “Medan majoriteten av befintliga bug bounty program ta emot nästan alla typer av sårbarheter och PoCs men betalar mycket låg belöningar, på Zerodium vi fokuserar på hög-risk, sårbarhet med fullt fungerande bedrifter, och vi betalar den högsta belöningar på marknaden.”
Förändringarna är främst inriktade på mobila applikationer. Tillsammans med appen meddelanden belöningar, $500,000 finns också på erbjudande för noll-dagar som påverkar en rad olika e-post program, oavsett om de är en lokal utökning av privilegier brister (LPEs) eller fjärrkörning av kod (RCE).
Dessutom, $150,000 är på erbjudande för bedrifter som påverkar baseband frekvenser, mediefiler och dokument, och företaget vill också höra om sandbox flyr kodsignering bypass, och andra mobila utnyttjar.
Apple sårbarheter är fortfarande i hög efterfrågan, verkar det som. Nära ett år sedan, den utnyttjar säljaren tredubblat sin belöning för Apple iOS-10 RCEs, och Zerodium är fortfarande erbjuder $1,5 miljoner för remote jailbreaks och uthållighet utan interaktion med användaren.
Företaget är också villiga att betala upp till $1 miljon för en iOS jailbreak som behöver användaren, såsom att klicka på en skadlig länk eller fil.
Zerodium har också utökat sitt utnyttja förvärvet programmet med en uppsättning nya poster för servrar och datorer. Totalt upp till $300,000 är på erbjudande för zero-day brister inom detta område beroende på system. Windows 10 RCEs är den mest värdefulla, men noll-dagar för webbservern Apache på Linux, Microsoft Outlook, Mozilla Thunderbird, och VMware ESXi, bland andra, är också eftertraktade.
Dessutom har företaget stötte upp betalningar för Google Chrome RCEs från $80 000 till $150,000.
Den privata utnyttja marknaden för försäljning är oklar i bästa fall. Som säljare, du kan aldrig vara säker på var sårbarheten kommer att hamna — eller hur det kommer att användas. Om forskare rapporterar sina sårbarheter direkt till en säljare, de kan lita på att-så småningom, åtminstone i de flesta fall — sårbarheten kommer att vara fast, att skydda sin egen utrustning eller programvara såväl som andra.
Teknisk säljare inte konkurrera med antingen den svarta marknaden eller privata utnyttja säljare när det kommer till pris, utan snarare utnyttja idé att forskare faktiskt vill göra något bra och skydda systemen från att utnyttja.
Om privat-såld utnyttjar säljs vidare, men forskaren kontroll över en upptäckt försvinner också. Den ekonomiska belöningar kan vara mycket högre, men utnyttja i frågan kan hamna i händerna på andra privata företag, brottsbekämpande myndigheter, eller mindre än respektabel regeringens program avsedda för offentlig övervakning.
Som ett exempel, när Apple vägrade att underlätta för polisen att bryta ett misstänkt iPhone, FBI sedan betalas ett privat företag för en exploatering som arbetade på just den modellen. En stämningsansökan mot Apple i ett försök att tvinga företag samarbete har därefter sjunkit.
Sett till Threatpost, Zerodium grundare Chaouki Bekrar sade bolagets kunder regeringen är i behov av zero-day exploits som gör det möjligt för dem att bevaka brottslingar med hjälp av secure messaging-program.
“Det höga värdet av zero-day exploits för sådana appar kommer från både en hög efterfrågan från kunder och en liten attack yta i dessa program som gör upptäckten och exploateringen av kritiska fel och mycket utmanande för säkerhet forskare,” Bekrar sagt.
Relaterade täckning
Nu kan du tjäna $1,5 miljoner kronor för dataintrång iPhone Utnyttja mäklare stjäl Apple åska, erbjuder $500.000 för iOS noll dagar Stora “zero-day” ransomware attack-slår till UCL-universitetet campus
Mer säkerhet nyheter
Android Oreo: Google har precis gjort app installationer från okända källor en mycket säkrare
Stickande frukter för att bryta din skalle: Robot buggar göra dataintrång alltför lätt
JUSTITIEDEPARTEMENTET ändrar begäran om uppgifter från anti-Trump webbplats
Cryptocurrency miner malware är förslavande Datorer med EternalBlue
0