Компания Zerodium, занимающаяся условно легальной торговлей эксплойтами, опубликовала обновленный прейскурант с указанием цен на различные уязвимости. В числе прочего, весьма внушительная премия объявлена за уязвимости нулевого дня в безопасных мессенджерах: 0-day уязвимости в Telegram, WhatsApp, Signal, Facebook Messenger, iMessage и WeChat, связанные с удаленным выполнением кода и локальным повышением привилегий, оценены в $500 000.
Безопасные мессенджеры уже некоторое время остаются одним из центральных элементов в дискуссии спецслужб и государств с одной стороны и пользователей, не желающих поступаться конфиденциальностью переписки, с другой стороны. Пика это противостояние достигло в прошлом году, когда FBI настаивало на том, что Apple должна обойти собственные механизмы безопасности, чтобы помочь разблокировать Айфон террориста. Напомним, Apple отказалась помочь Бюро, в итоге же ФБР справилось со взломом смартфона своими силами.
Zerodium занимается покупкой уязвимостей нулевого дня, после чего предоставляет своим клиентам созданные на основе этих уязвимостей эксплойты и защитные решения. Компания не делится найденными уязвимостями с разработчиками софта, в котором баги найдены — соответственно, уязвимости так и остаются не пропатченными. Разумеется, разработчикам это не очень-то нравится. Основатель компании Чауки Бекрар (Chaouki Bekrar) всегда упирает на то, что Zerodium, а также предыдущая основанная им компания, VUPEN, ведут дела исключительно демократическими, не находящимися под санкциями государствами.
Основные изменения в опубликованном прейскуранте сфокусированы на мобильных операционных системах. Кроме вышеупомянутой награды за мессенджеры, Zerodium предлагает до $500 000 за удаленное выполнение кода и локальное повышение привилегий в штатных почтовых приложениях для iOS и Android. Немного более скромное вознаграждение, до $150 000, объявлено за уязвимости того же типа в частях ОС, отвечающих за обработку медиа файлов и документах, а также за работу с сотовыми сетями. Наконец, до $100 000 могут выплатить за побег из песочницы, обход цифровой подписи кода, уязвимости в SS7 и некоторые другие баги.
Бекрар рассказал Threatpost, что государства-клиенты Zerodium имеют большую потребность в уязвимостях, которые позволили бы им следить за преступниками, использующими безопасные мессенджеры. «Высокая ценность уязвимостей нулевого дня в подобных приложениях обусловлена высокой востребованностью их у наших клиентов. Также играет роль то, что поверхность атаки таких приложений невелика — из-за этого исследователям нелегко находить и эксплуатировать уязвимости в мессенджерах,» — сказал Бекрар.
Мы попросили прокомментировать эту новость создателя Signal Мокси Марленспайка (Moxie Marlinspike), а также компании Facebook и WhatsApp, но на момент публикации новости ответ мы не получили.
Также Zerodium анонсировала премию в $300 000 за 0-day с удаленным выполнением кода в Windows, в частности экспорты, позволяющие использовать стандартные службы Windows, такие как SMB и RDP. Уязвимости в веб-серверах, в частности в Apache для Linux и Microsoft IIS для Windows, оценены в $150 000, а уязвимость в Outlook — в $100 000.
Также Zerodium удвоил (или почти удвоил) премию за атаки на Chrome, PHP и OpenSSL. А удаленное выполнение кода в Tor-браузере для Linux или Windows подорожало более чем втрое: с прежних $30 000 до $100 000.
Примерно год назад Zerodium утроила награду за удаленный джейлбрейк iOS 10 — до $1 500 000. Около двух лет назад компания приобрела широкую известность после того, как объявила награду в $1 000 000 за подобную уязвимость в iOS 9
