Компания Zimperium (не путать с известным брокером уязвимостей Zerodium), в 2015 году обнаружившая уязвимость Stagefright, анонсировала старт программы, в рамках которой будут приобретаться так называемые N-day эксплоиты для Android и iOS. Суммарно на эти цели планируется потратить полтора миллиона долларов. Размер выплаты будет определяться индивидуально в каждом отдельном случае.
Что такое N-day эксплоиты? Специалисты Zimperium поясняют, что свежий 0-day баг и эксплоит для него могут стоить миллионы долларов, но сколько все это будет стоить месяц спустя, после выхода патча? По словам специалистов: «около нуля долларов». Однако такие «устаревшие» N-Day эксплоиты представляют для Zimperium ценность. Фактически компания готова приобрести эксплоиты для удаленных или локальных проблем, для любых версий Android и iOS, не считая наиболее свежих.
Затем такие эксплоиты будут раскрыты для членов альянса Zimperium Handset Alliance (ZHA), в который входят более 30 производителей, включая компании Samsung, Softbank, Telstra и Blackberry. «Фора» членов ZHA в данном вопросе будет составлять 1-3 месяца. Дело в том, что многие компании признают, что без proof-of-concept эксплоита на руках бывает сложно убедить разработчиков в необходимости выпуска патча, даже в том случае, если проблема известная и очевидная.
После эксплоиты будут использованы для улучшения работы собственной платформы компании, z9, которая использует машинное обучение и применяется для поиска угроз и фиксирования атак в реальном времени.
Также, в конечном итоге, Zimperium обещает раскрывать данные обо всех приобретенных эксплоитах публично, так как компания ставит перед собой цель оказать помощь сообществу, пентестерами и администраторам. Впрочем, данные об эксплоите могут так и остаться тайной для широкой публики, если на этом будет настаивать его автор.
