0

Zerodium hat sich die finanzielle Belohnung für Forscher, die gültige zero-day-Schwachstellen bei der Einführung einer neuen Preisstruktur.
Die premium-exploit Verkäufer ist besonders daran interessiert, seine Hände, die auf unbekannte Schwachstellen können ausgenutzt werden, die beliebte messaging-apps wie iMessage, Telegram, WhatsApp -, Signal -, Facebook, Viber, und Hause Tencent, neben den traditionellen SMS – /MMS-Nachrichten.
Zu diesem Zweck Zerodium freistehend eine finanzielle Karotte im Wert von bis zu $500.000 für jede zero-day-exploit.
“Zerodium zahlt Prämie Prämien und Belohnungen für die Sicherheit der Forscher zu erwerben, Ihre ursprüngliche und zuvor nicht gemeldete zero-day-Forschung Auswirkungen auf den wichtigsten Betriebssystemen, software und Geräte,” sagt das Unternehmen. “Während die Mehrheit der bisherigen bug-bounty-Programme akzeptieren fast jede Art von Schwachstellen und Fertigstellungsgrade, aber zahlen sehr niedrigen Prämien, bei Zerodium wir konzentrieren sich auf Hochrisiko-Schwachstellen, voll funktionsfähige exploits, und wir zahlen die höchsten Prämien auf dem Markt.”
Die änderungen konzentrieren sich vor allem auf mobile Anwendungen. Zusammen mit der messaging-app, die rewards, 500.000 Dollar ist auch im Angebot für null-Tage Auswirkungen auf eine Reihe von E-Mail-Anwendungen, ob Sie local-privilege-escalation-Schwachstellen (LPEs) oder remote code execution (RCE).
Darüber hinaus 150.000 Dollar für exploits Auswirkungen auf Basisband-Frequenzen, Medien-Dateien und Dokumente, und das Unternehmen will auch zu hören, über sandbox-escapes, code signing umgehen, und andere mobile nutzt.
Apple-Sicherheitslücken sind immer noch in der hohen Nachfrage, wie es scheint. In der Nähe vor einem Jahr, die exploit-Verkäufer verdreifacht seine Belohnung für Apple iOS 10 RCEs, und Zerodium ist immer noch mit 1,5 Millionen Dollar für den remote-jailbreaks und Ausdauer ohne Benutzer-Interaktion.
Das Unternehmen ist auch bereit, zu zahlen bis zu $1 million für einen iOS-jailbreak, das braucht Benutzer-Interaktion, wie z.B. das klicken auf einen bösartigen link oder eine Datei.
Zerodium hat auch erweitert sein exploit-Akquisitions-Programm mit einer Reihe von neuen Einträgen für Server und desktops. Insgesamt, bis zu 300.000 US-Dollar für zero-day-Schwachstellen in diesem Bereich je nach system. Windows 10 RCEs sind die wertvollsten, aber null-Tage für den Apache Web-Server auf Linux -, Microsoft Outlook, Mozilla Thunderbird, VMware ESXi, unter anderem, sind ebenfalls begehrt.
Darüber hinaus hat das Unternehmen bis stieß Zahlungen für Google Chrome RCEs von $80.000 bis $150,000.
Der private nutzen Absatzmarkt ist nebulös am besten. Als Verkäufer können Sie sich nie sicher sein, wo die Schwachstelle wird am Ende-oder wie es verwendet wird. Wenn die Forscher berichten über Ihre Schwachstellen, die direkt an einen Lieferanten, können Sie sicher sein, dass — schließlich, zumindest in den meisten Fällen — die Sicherheitsanfälligkeit behoben werden, den Schutz Ihrer eigenen Geräte oder software sowie andere.
Tech-Anbieter konkurrieren nicht mit entweder dem Schwarzmarkt oder private exploit-Verkäufern, wenn es darum geht auf den Preis, sondern vielmehr nutzen die Idee, dass die Forscher wirklich wollen, etwas gutes zu tun und Schutz-Systemen von nutzen.
Wenn privat verkauft exploits verkauft werden, aber Forscher, die Kontrolle über eine Entdeckung verschwindet, auch. Die finanzielle Belohnung kann weit höher sein, aber der nutzen in Frage könnte am Ende in den Händen von anderen privaten Unternehmen, Strafverfolgungs-oder weniger-als-respektable Regierung Programme für öffentliche überwachung.
Als ein Beispiel, als Apple weigerte sich, zu unterstützen Strafverfolgungsbehörden brechen eine verdächtige das iPhone, das FBI dann bezahlt ein privates Unternehmen für eine Schwachstelle, die arbeitete an diesem Modell. Eine Klage gegen Apple in einem Versuch zu zwingen, die Firma, die die Zusammenarbeit wurde dann fallen gelassen.
Sprechen Threatpost, Zerodium Gründer Chaouki Bekrar sagte, das Unternehmen der Regierung von Kunden in der Notwendigkeit von zero-day-exploits, die es Ihnen ermöglichen, zu überwachen, kriminelle mithilfe der secure messaging-Anwendungen.
“Den hohen Wert der zero-day-exploits für solche apps kommt sowohl aus der hohen Nachfrage von Kunden und eine kleine Angriffsfläche in diesen apps macht die Entdeckung und Ausbeutung von kritischen bugs eine große Herausforderung für security-Forscher,” Bekrar sagte.
Verwandte coverage
Sie können jetzt verdienen Sie 1,5 Millionen Dollar für das hacken der iPhone-Exploit broker Stiehlt Apple thunder, bietet 500.000 Dollar für die iOS zero-Day-Major ‘zero-day’ ransomware Angriff trifft UCL campus der Universität
Mehr Sicherheit news
Android Oreo: Google hat soeben app installiert, die von unbekannten Quellen viel sicherer
Stechende Früchte zu brechen Ihren Schädel: der Roboter Fehler machen hacking zu einfach
DOJ ändert Anfrage für Daten von anti-Trumpf Website
Kryptogeld Bergmann malware Versklavung PCs mit EternalBlue
0