0
Zerodium har øget økonomisk belønning for forskere, der indsender gyldige zero-day mangler med indførelsen af en ny prisstruktur.
Premium udnytte sælger er særlig ivrig efter at få sine hænder på ukendte sårbarheder, som kan bruges til at udnytte populære messaging-apps, som iMessage, Telegram, WhatsApp, Signal, Facebook, Viber, og WeChat, samtidig med at de traditionelle SMS/MMS-beskeder.
Til dette formål, Zerodium dingler en økonomisk gulerod til en værdi af op til $500.000 for hver arbejder zero-day exploit.
“Zerodium betaler præmien for dusører og belønninger til sikkerhed forskere til at erhverve deres oprindelige og tidligere urapporteret zero-day forskning, der påvirker større operativsystemer, software og enheder,” siger selskabet. “Mens flertallet af de eksisterende bug bounty programmer til at acceptere næsten enhver form for sårbarheder og Poc, men betaler meget lave belønninger, ved Zerodium vi fokuserer på høj-risiko sårbarheder med fuldt funktionelle udnytter, og vi betaler den højeste belønninger på markedet.”
De ændringer, som primært fokuserer på mobile applikationer. Sammen med messaging app belønninger, $500,000 er også på tilbud til nul-dage, der påvirker en række af e-mail-programmer, uanset om de er lokal rettighedsforøgelse fejl (LPEs) eller fjernkørsel af programkode (RCE).
Hertil kommer, $150,000 er på tilbud til bedrifter, der påvirker baseband frekvenser, mediefiler og dokumenter, og virksomheden ønsker også at høre om sandkasse undslipper, code signing-bypass, og andre mobile udnytter.
Apple sårbarheder er stadig i høj kurs, det ser ud. Tæt på et år siden, udnytte sælger tredoblet sin belønning for Apple iOS 10 RCEs, og Zerodium er stadig tilbyder $1,5 millioner til remote jailbreaks og vedholdenhed uden interaktion fra brugeren.
Selskabet også er villige til at betale op til $1 million for en iOS jailbreak, der skal brugerinput, såsom at klikke på et skadeligt link eller en fil.
Zerodium har også udvidet sit udnytte erhvervelse program med et sæt af nye poster til servere og desktops. I alt op til $300.000 er på tilbud til zero-day mangler på dette område afhængigt af systemet. Windows 10 RCEs er de mest værdifulde, men nul-dage for Apache Web Server på Linux, Microsoft Outlook, Mozilla Thunderbird og VMware ESXi, blandt andre, er også efterspurgt.
Derudover har virksomheden stødte op betalinger til Google Chrome RCEs fra $80,000 til $150.000.
Den private udnytte salg på markedet er tåget på det bedste. Som sælger kan du aldrig være sikker på, hvor den sårbarhed vil ende op — eller hvordan det vil blive brugt. Hvis forskere skal indberette deres sårbarheder direkte til en leverandør, kan de være forvisset om, at — i sidste ende, i det mindste i de fleste tilfælde — den sårbarhed vil blive fastsat, at beskytte deres egen enhed eller software, som er så godt som andre.
Tech leverandører ikke konkurrere med enten den sorte marked eller privat udnyttelse sælgere, når det kommer til prisen, men snarere at udnytte den idé, at forskerne rent faktisk ønsker at gøre nogle gode og beskytte systemer fra at udnytte.
Hvis privat-solgte udnytter sælges på, men forsker kontrol over en opdagelse, forsvinder også. Den økonomiske belønning kan være langt højere, men den udnyttelse, der kan ende i hænderne på andre private virksomheder, retshåndhævelse eller mindre-end-respektabel offentlige programmer, der er dedikeret til offentlig overvågning.
Som et eksempel, da Apple afviste at hjælpe politiet med at bryde en mistanke om iPhone, FBI så betalt et privat firma for en udnyttelse, som arbejdede på den pågældende model. En retssag anlagt mod Apple i et forsøg på at tvinge virksomhedens samarbejde blev derefter droppet.
Tale til Threatpost, Zerodium grundlægger Chaouki Bekrar sagde selskabets offentlige kunder har brug for zero-day exploits der sætter dem i stand til at overvåge kriminelle ved hjælp af secure messaging applikationer.
“Den høje værdi af zero-day exploits til disse apps kommer fra både en høj efterspørgsel fra kunder og en lille angribe overfladen i disse apps, som gør den opdagelse og udnyttelse af kritiske bugs meget udfordrende for sikkerhed forskere,” Bekrar sagde.
Relaterede dækning
Nu kan du tjene $1,5 millioner for hacking iPhone Udnytte mægler stjæler Apple torden, tilbyder $500.000 til iOS nul dage Store “nul-dag” ransomware angreb rammer UCL, university campus
Mere sikkerhed nyheder
Android Oreo: Google har netop gjort app installationer fra ukendte kilder, en meget sikrere
Stikkende frugt til at bryde dit kranium: Robot fejl gør hacking for let
DOJ ændrer anmodning om data fra anti-Trump site
Cryptocurrency miner malware er trælbinde Pc ‘ er med EternalBlue
0