Компания Zerodium была основана в 2015 году Чауки Бекраром (Chaouki Bekrar), одним из создателей компании Vupen. Тогда как Vupen преимущественно занималась разработкой собственных эксплоитов, Zerodium имеет не только собственную команду девелоперов, но и приобретает эксплоиты и уязвимости у третьих сторон.
В конце 2015 года компания Zerodium пообещала, что выплатит миллион долларов тому, кто сумеет обнаружить 0-day в iOS 9 и предоставит рабочий эксплоит в обозначенные сроки. Разумеется, первый попавшийся 0-day для конкурса не подходил, а детальные условия задания были весьма сложны. Свое слово представители Zerodium сдержали: в ноябре 2015 года стало известно, что неназванная группа хакеров сумела осуществить удаленный непривязанный джейлбрейк через браузер для iOS 9.1 и 9.2. Они и забрали рекордное вознаграждение.
Также в конце 2015 года Zerodium открыто обнародовала свои тарифы на уязвимости, хотя подобную информацию обычно стараются держать подальше от глаз публики. Тогда безусловным лидером «тарифной сетки» оказалась iOS: за рабочий эксплоит для девайсов Apple компания готова была заплатить до $500 000.
С выходом iOS 10 руководство Zerodium решило пересмотреть тарифы. Теперь 0-day уязвимости для iOS, позволяющие удаленно скомпрометировать устройство и перехватить над ним контроль, оцениваются в полтора миллиона долларов. Напомню, что компания Apple официально предлагает за баги в iOS максимум $200 000, так что предложение Zerodium выгоднее на порядок.
Кроме того, Zerodium подняла цены и на другие уязвимости. Теперь 0-day в новейшем Android оценивается в $200 000, против $100 000 в прошлом году. Эксплоиты для Flash, позволяющие осуществить побег из песочницы, теперь могут принести автору до $100 000, против прошлогодних $80 000. Также подорожали баги в Word, Excel и Windows 10 Reader ($40 000 и $50 000). Сравнение прайс-листов за 2015 и 2016 годы можно увидеть ниже.
Фото: shutterstock
