有一家公司,叫 Zerodium。这家企业由一些网络安全专家创立,是全球领先的零日(0day)漏洞收购商。这家公司做的事情,是购买零日(0day)漏洞,然后向政府和执法机构等出售漏洞。
近日,Zerodium更新安卓和 iOS 的 0day 漏洞收购价,其中安卓 0day 漏洞价格超越 iOS 漏洞价格。
据悉,安卓持久性全链零点击漏洞价格达到 250 万美元,而 iOS 漏洞则为 50 万美元。自这家公司成立以来,这样的事情尚属首次。
此前,这类漏洞价格仅为 20 万美元,Zerodium 更新的安卓漏洞价格上涨 12 倍。这些漏洞可用在安卓设备上,获得持久性访问,无需来自目标用户的指示和交互。
除安卓漏洞外,Zero 还宣布提供 50 万美元用于提交 iOS 的新持久性攻击或技术,并增加了对符合条件的 iMessage 和 WhatsApp 零点击漏洞的支出。
据悉,安卓和 iOS 的 RCE+LPE 非持久性零点击漏洞此前收购价是 100 万美元,而如今上涨到 150 万美元。
Zerodium 通过收购获取 0day 漏洞源码,其收购价取决于被攻击的软件或者系统的知名度和安全级别,以及提交的漏洞质量(全链或部分链、支持的版本/系统/ 架构、可靠性、绕过漏洞利用缓解、默认与非默认组件、流程延续等)。
Zerodium 网站上列出的 0day 漏洞价格仅供参考,多半是指全功能漏洞价格。如果漏洞是“特殊的”并满足其“最高要求”,Zerodium 可能会支付更多费用。
一位名为“Christopher Nguyen”的网友在推特上发文称,“Zerodium 基本上是说安卓比 iOS 更安全。这家公司降低了苹果 iOS 持久性全链(一次点击)漏洞价格,从之前的 150 万美元降到 100 万美元。”
”由于谷歌和三星的安全团队,安卓发布的每一个版本都更安全,因此开发安卓漏洞全链变得非常困难和耗时,而且开发无用户互动的零点击漏洞变得更加困难。” Zerodium 的首席执行官 Chaouki Bekrar 说。
2019 年 3 月,Zerodium 宣布它正在寻求购买 VMware ESXi(vSphere)或 Microsoft
Hyper-V 漏洞,即 Guest-to-Host 逃逸。可靠的 0day 漏洞可以在默认配置上运行,并且可以访问完全主机,最高可达 50 万美元。
当然,Zerodium 不是市场中唯一收购 0day 漏洞的公司,还有其他公司也在收购,比如 Crowdfense 在 2018 年 4 月推出了自己的 1000 万美元的漏洞赏金计划。
相关文章:
https://securityaffairs.co/wordpress/90767/hacking/zerodium-price-list.html
腾讯大规模云原生技术实践案例集
本案例集详细阐释了 QQ、腾讯会议、和平精英、小红书、斗鱼、微盟等十多个亿级用户产品背后的大规模云原生...
评论