Недавно компания Apple сообщила, что с 1 сентября 2016 года запустит собственную программу вознаграждения за уязвимости. Компания пообещала выплачивать исследователям награды в размере до $200 000. Невзирая на то, что Apple предложила исследователям достойные вознаграждения, этого оказалось недостаточно. Частный брокер уязвимостей, компания Exodus Intelligence, объявил о «встречном предложении» и сообщил, что готов выплатить до $500 000 за 0-day и N-day баги в iOS.

Не секрет, что компании, торгующие уязвимостями, высоко ценят баги в продукции Apple. Так, в конце 2015 года фирма Zerodium обещала выплатить миллион долларов любому, кто найдет 0day в iOS 9. Разумеется, первый попавшийся 0day для конкурса не подходил, детальные условия задания были весьма сложны. Тем не менее, в ноябре 2015 года конкурс успешно завершился: пожелавшая остаться неизвестной команда хакеров сумела выполнить все условия Zerodium и забрала огромный приз.

Также в прошлом году представители Zerodium рассказывали о том, сколько стоят разные уязвимости и даже объясняли, почему уязвимости в продуктах Apple ценятся намного выше всех остальных.

Очевидно, в Exodus Intelligence придерживаются похожего мнения. Компания объявила о запуске инициативы Research Sponsorship Program (RSP), которая строится вокруг приобретении информации об уязвимостях и эксплоитах. Компания готова заплатить исследователям не только за уязвимости в Apple iOS, но также готова приобрести баги в Google Chrome, Microsoft Edge и Adobe Flash. «Прайс» на уязвимости можно увидеть ниже, к примеру, наиболее опасные проблемы в iOS 9.3 и выше Exodus Intelligence оценила в $500 000.

screen-shot-2016-08-11-at-08-33-10

Пример компании Zerodium и недавняя история о том, как ФБР взламывало iPhone террориста (правоохранители заплатили за эксплоит более миллиона долларов) показывают, что установленная Exodus Intelligence планка далека от рекордной. Тем не менее, компании Apple, похоже, стоит задуматься о том, как поступят с обнаруженными проблемами исследователи, учитывая тот факт, что официальная bug bounty программа компании пока работает только для узкого круга лиц, по приглашениям, а частные брокеры предлагаю за 0-day баги в два с половиной раза больше официальной ставки.

Фото: Pictures of Money

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии