0
Zerodium ha aumentato la ricompensa finanziaria per i ricercatori che presentano valido giorno zero difetti, con l’introduzione di una nuova struttura dei prezzi.
Il premio sfruttare il venditore è particolarmente interessato a mettere le mani su di vulnerabilità sconosciute che possono essere utilizzati per sfruttare popolare app di messaggistica, come iMessage, Telegram, WhatsApp, Segnale, Facebook, Viber e WeChat, a fianco delle tradizionali SMS/MMS.
A tal fine, Zerodium è svincolato finanziario carota vale la pena fino a $500.000 per ogni zero-day exploit.
“Zerodium paga i premi ricompense e premi per i ricercatori di sicurezza di acquisire il loro originale e non precedentemente dichiarata zero-day di ricerca che interessano i principali sistemi operativi, software e periferiche”, afferma l’azienda. “Mentre la maggior parte dei bug bounty programmi di accettare praticamente qualsiasi tipo di vulnerabilità e Poc, ma paga molto bassa di premi, a Zerodium ci concentriamo ad alto rischio di vulnerabilità, con cucina completamente funzionale exploit, e noi paghiamo i premi più alti sul mercato.”
Le modifiche si concentrano principalmente su applicazioni mobili. Insieme con la app di messaggistica premi da 500.000 dollari è anche in offerta per zero-giorni di impatto di una vasta gamma di applicazioni di posta elettronica, siano essi locali privilege escalation difetti (LPEs) o l’esecuzione di codice remoto (RCE).
Inoltre, $150,000 è in offerta per le imprese incidono frequenze in banda base, file multimediali e documenti, l’azienda non vuole sentire parlare di sandbox sfugge, la firma del codice di bypass, e altri exploit mobile.
Apple vulnerabilità sono ancora in alto la domanda, a quanto pare. Quasi un anno fa, l’exploit venditore triplicato la sua ricompensa per Apple iOS 10 RCEs, e Zerodium è ancora dotato di $1,5 milioni per il remoto jailbreak e persistenza, senza interazione dell’utente.
L’azienda, inoltre, è disposto a pagare fino a $1 milione per un iOS con jailbreak, che richiede l’interazione dell’utente, ad esempio facendo clic su un collegamento dannoso o file.
Zerodium ha inoltre ampliato la propria sfruttare programma di acquisizione di una serie di nuove voci per server e desktop. In totale, fino a $300.000 per giorno zero difetti in questo campo, a seconda del sistema. Windows 10 RCEs sono i più preziosi, ma zero-giorni per il Server Web Apache su Linux, Microsoft Outlook, Mozilla Thunderbird, e VMware ESXi, tra gli altri, sono anche ricercati.
Inoltre, la società ha aumentato i pagamenti per Google Chrome RCEs da $80.000 a $150,000.
L’exploit privato di vendita del mercato è nebuloso. Come un venditore, non si può mai essere sicuri di dove la vulnerabilità finirà — o come verrà utilizzato. Se i ricercatori riferiscono i loro vulnerabilità direttamente a un fornitore, può stare sicuro che-alla fine, almeno nella maggior parte dei casi, la vulnerabilità sarà risolto, proteggere il proprio dispositivo o software così come gli altri.
I fornitori di tecnologia non sono in competizione con il mercato nero o privato sfruttare i venditori quando si tratta di prezzo, ma piuttosto sfruttare l’idea che i ricercatori vogliono veramente fare qualcosa di buono e proteggere i sistemi da sfruttare.
Se un privato, è venduto exploit sono venduti, tuttavia, ricercatore controllo su una scoperta svanisce, troppo. La ricompensa finanziaria può essere di gran lunga superiore, ma l’exploit in questione potrebbe finire nelle mani di privati, aziende, forze dell’ordine, o meno rispettabile programmi di governo dedicato alla sorveglianza pubblica.
Come esempio, quando Apple ha rifiutato di assistere le forze dell’ordine nella rottura di un sospetto iPhone, l’FBI ha poi pagato una società privata per un exploit che ha lavorato su quel particolare modello. Una causa intentata contro Apple, nel tentativo di forzare la ditta di cooperazione è stato poi lasciato cadere.
Parlando di Threatpost, Zerodium fondatore Chaouki Bekrar, ha detto che il governo della società i clienti hanno bisogno di exploit zero-day che consentano di controllare i criminali utilizzando secure applicazioni di messaggistica.
“L’alto valore di” zero-day ” per tali applicazioni è una forte domanda da parte dei clienti e una piccola superficie di attacco in queste applicazioni, che rende la scoperta e lo sfruttamento di bug critici molto difficile per i ricercatori di sicurezza,” Bekrar, ha detto.
Relativi copertura
Ora puoi guadagnare 1,5 milioni di dollari per l’hacking iPhone Sfruttare broker ruba Apple tuono, offre $500.000 per iOS zero giorni Importanti ‘zero-day’ ransomware attacco colpisce UCL campus universitario
Più notizie di sicurezza
Android Oreo: Google ha appena fatto la installazione di applicazioni da fonti sconosciute molto più sicuro
Lancinante frutti di rompere il cranio: Robot bug di fare hacking troppo facile
DOJ modifica richiesta di dati da anti-Trump sito
Cryptocurrency minatore malware è schiavizzare il Pc con EternalBlue
0