Zerodium将移动消息App漏洞奖金提升至50万美元
该漏洞利用收购公司更新了其支付安排表,新增手机、服务器和桌面目标。
8月23日,Zerodium更新了其漏洞利用收购支付安排表,为零日漏洞利用增加了新的目标,更新了收购价格。新增目标中包括了WhatsApp、iMessage和Signa等手机消息应用,Zerodium将为这些目标上本地提权零日漏洞的远程代码利用,支付最高50万美元的酬劳。
Zerodium是一家2015年成立的独立私营公司,从事零日漏洞利用收购业务。2015年9月,该公司以每个苹果 iOS 9 零日漏洞100万美元的收购价蜚声全球。一年后,2016年9月,Zerodium将iOS零日漏洞收购价提升至150万美元,该价格稳居公司单个漏洞利用价码首位。
新的50万美元手机消息漏洞价格,是应Zerodium客户的需求诞生的。
Zerodium创始人查乌基·贝克拉称:“Signal、Telegram和其他消息App在合法用户间非常流行,但罪犯也十分爱用这些App。我们的政府客户需要高级功能和零日漏洞利用,来追踪和监视依赖这些App的恐怖分子和罪犯。”
至于Zerodium为手机消息App开出的50万美元漏洞奖励,该高价的部分原因,与在这些平台上找寻可利用漏洞的难度有关。
贝克拉表示:“影响此类App的零日漏洞利用的高价值,大部分源自这些App较小的攻击界面——相对Web浏览器或文件阅读器之类其他软件而言,这让安全研究员在此类消息App中发现并利用关键漏洞十分困难。”
Zerodium的新版支付列表上,消息App不是唯一新增的移动目标,与移动操作系统捆绑的默认电子邮件App也在悬赏之列。Zerodium将为此类邮件App上利用本地提权零日漏洞的远程代码执行,同样支付高达50万美元的酬劳。
除了移动目标,服务器和桌面系统也新增了目标类型,比如USB代码执行漏洞就价值3万美元。USB漏洞及其利用程序并不罕见,不过Zerodium要找的是更特别一些的。
“
USB欺骗很常见,但这些不是我们的项目要找的东西,我们主要寻求的是利用操作系统漏洞的USB漏洞利用。合格的攻击应该类似震网所用的CVE-2010-2568。
CVE-2010-2568问题已于2010年10月由微软发布了补丁,但零日计划(ZDI)在2015年3月揭示:该补丁实际上并不完整。因此,微软又发布了一个新补丁,修复标识为CVE-2015-0096的扩大版漏洞。
与支付漏洞奖励并随后向受影响厂商公开漏洞细节的其他公司不同,Zerodium遵从商业披露策略,向其客户报告所有收购来的漏洞。Zerodium的零日研究馈送对Zerodium客户开放,包含有关于漏洞的安全信息,以及建议和防护措施。
“
我们不能透露Zerodium的总预算和支付给安全研究员的具体数额。但我们可以说,我们每年都付出数百万美元,能够帮助全世界的天才研究员体面地挣钱,我们感到非常自豪。
相关阅读