| 14 мая 2020 г. — 12:40 PT
Платформа по приобретению эксплойтов Zerodium сообщила, что у нее имеется избыток определенных типов уязвимостей iOS и Safari, настолько, что она остановила прием заявок от исследователей на «ближайшие 2-3 месяца».
Zerodium была одной из компаний по приобретению эксплойтов, о которой в сентябре прошлого года сообщал Vice в отчете о потоке эксплойтов для iOS, заполонивших рынок. Несколькими неделями позже мы также увидели, что появился неустранимый эксплойт загрузочного ПЗУ под названием checkm8, который позволяет выполнять джейлбрейк на iPhone X.
Более чем за полгода Zerodium продолжала получать эксплойты для iOS и Safari такими темпами, что компания объявила о прекращении приема заявок на эксплойты для повышения привилегий (LPE) в iOS, удаленное выполнение кода через Safari или побег из песочницы «в ближайшие 2-3 месяца».
Zerodium также предсказала, что «цены на эксплойты для iOS, позволяющие выполнить действия в один клик (например, через Safari), без сохранения стойкости, вероятно, упадут в ближайшем будущем».
We will NOT be acquiring any new Apple iOS LPE, Safari RCE, or sandbox escapes for the next 2 to 3 months due to a high number of submissions related to these vectors.
Prices for iOS one-click chains (e.g. via Safari) without persistence will likely drop in the near future.— Zerodium (@Zerodium) 13 мая 2020 г.
Как отмечалось прошлой осенью, Zerodium по-прежнему платит до 2,5 миллионов долларов за полные цепочки эксплойтов без клика с сохранением стойкости на Android, в то время как на iOS максимум составляет 2 миллиона долларов.
Вот как выглядит текущая структура выплат Zerodium:
В связанных новостях недавно в Китае вновь появился старый эксплойт, который позволил хакерской группе отслеживать уйгурское мусульманское меньшинство еще в марте этого года.