| 30 сентября 2016 г. — 4:35 PT
Компания «черных шляп» по безопасности Zerodium – которая ищет уязвимости в iOS и Android для продажи корпоративным и правительственным клиентам – увеличила максимальное вознаграждение за эксплойты нулевого дня для iOS 10 до 1,5 млн долларов. Ранее компания предлагала 1 млн долларов за уязвимости iOS 9.
Уязвимость нулевого дня – это уязвимость, еще не известная разработчику, поэтому у компаний есть ноль дней на подготовку к эксплойтам. Основатель компании сообщил Arstechnica, что увеличенное вознаграждение отражает улучшенную безопасность в последней версии iOS. Он также объяснил, почему компания платит гораздо больше за уязвимости iOS, чем за Android…
«Цены напрямую связаны со сложностью создания полной цепочки эксплойтов, и мы знаем, что iOS 10 и Android 7 намного труднее использовать, чем их предыдущие версии», — сказал он Ars. На вопрос, почему цепочка эксплойтов iOS стоит в 7,5 раз дороже, чем аналогичная для Android, он ответил: «Это означает, что цепочки эксплойтов iOS 10 в 7,5 раз сложнее, чем Android, или спрос на эксплойты iOS в 7,5 раз выше. На самом деле это смесь того и другого».
Хотя исследователям безопасности гораздо выгоднее продавать эксплойты таким компаниям, как Zerodium, а не сообщать о них Apple, которая предлагает максимальную выплату в 200 тысяч долларов, Ars отмечает, что на самом деле ситуация немного иная.
Чтобы претендовать на вознаграждение Zerodium, цепочка должна, как правило, работать почти безупречно, чтобы незаметно дать злоумышленнику полный контроль над целевым устройством. На языке хакеров это называется «оружие» эксплойта. Недостаточно того, что исследователь предоставляет лишь грубое описание уязвимостей с несовершенным доказательством концепции эксплойта. Вознаграждения, выплачиваемые Apple и Google, напротив, менее требовательны, и в результате они обычно требуют меньше работы.
Многие исследователи безопасности по этическим соображениям никогда не стали бы продавать информацию компаниям «черных шляп». Но для тех, кто может быть соблазнен, мы также отмечали в прошлом, что компании «черных шляп» выставляют свои предложения с максимальной возможной выплатой, в то время как диапазон начинается всего с нескольких тысяч долларов.