Компанія, яка купує та продає експлойти нульового дня – недоліки програмного забезпечення, невідомі розробнику, пропонує дослідникам заплатити $20 мільйонів за інструменти, які дозволять її клієнтам зламувати iPhone та пристрої Android. Про це повідомляє TechCrunch.
У середу Operation Zero оголосила у своїх облікових записах Telegram і в офіційному обліковому записі на X, що збільшила виплати за ці zero-days вразливості з $200 тисяч до $20 мільйонів.
«Збільшуючи премію та надаючи конкурентоспроможні плани та бонуси за контрактні роботи, ми заохочуємо команди розробників працювати з нашою платформою», – написали в компанії.
В Operation Zero, яка базується в росії й була запущена у 2021 році, також додали, що «як завжди, кінцевим користувачем є країна, що не входить до НАТО». На офіційному сайті компанії зазначено, що їхніми «клієнтами є лише російські приватні та державні організації».
На запитання, чому вони продають експлойти лише в країни, що не входять до НАТО, генеральний директор Operation Zero Сергій Зеленюк відповісти відмовився.
«Жодних причин, крім очевидних», – сказав він.
Зеленюк також зазначив, що бонуси, які зараз пропонує Operation Zero, можуть бути тимчасовими й залежати від складності зламу iOS та Android.
«Формування ціни на конкретні позиції дуже залежить від наявності продукту на ринку нульового дня. Повний ланцюг експлойтів для мобільних телефонів зараз є найдорожчими продуктами й ними користуються переважно урядові особи. Коли клієнту потрібен продукт, інколи він готовий заплатити якомога більше, щоб отримати його першим», – написав посадовець в електронному листі.
Протягом принаймні десятиліття різні компанії в усьому світі пропонували винагороди дослідникам безпеки, готовим продати помилки та методи зламу для використання цих недоліків. На відміну від традиційних платформ винагород за помилки, таких як Hacker One або Bugcrowd, такі компанії, як Operation Zero, не сповіщають компанії, продукти яких мають вразливості, а продають цю інформацію своїм клієнтам.
Це за своєю суттю «сірий» ринок, де ціни коливаються, а особи клієнтів часто є таємними. Але існують і були публічні прайс-листи, подібні до тих, що публікувалися Operation Zero.
Zerodium – компанія, яка була заснована у 2015 році, пропонує до $2,5 мільйона за ланцюжок помилок, що дають змогу клієнтам зламати пристрій Android без взаємодії з цільовою особою, тобто цільовій особі не потрібно потрапляти на фішингове покликання.
На сучасних мобільних пристроях завдяки покращеним засобам безпеки та захисту хакерам може знадобитися кілька уражень нульового дня, щоб повністю скомпрометувати цільовий пристрій і взяти його під контроль.
Crowdfense, конкурент Zerodium з Об’єднаних Арабських Еміратів, пропонує до $3 мільйонів за такий же ланцюжок помилок на Android та iOS.
Ринок продажу помилок нульового дня здебільшого нерегульований. Але в деяких країнах компаніям потрібні ліцензії від урядів країн, у яких вони працюють. Цей процес по суті передбачає запит дозволу на продаж у певні країни, щодо яких можуть бути обмеження.
Наприклад, нещодавно ухвалений закон у Китаї зобов’язує дослідників безпеки повідомляти уряд Китаю про помилки, перш ніж вони повідомлять виробників програмного забезпечення. Цей закон, на думку експертів, фактично означає, що Китай захоплює ринок помилок нульових днів у спробі використати їх у розвідувальних цілях.
Про сім пунктів, які мають бути у контрольному списку CISO на 2024 рік, читайте також на ProIT.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!