Zerodium впервые оценила эксплоиты для Android дороже, чем для iOS

Известный брокер уязвимостей, компания Zerodium, обновила свой прайс-лист, и теперь эксплоиты для Android впервые в истории стоят больше, чем эксплоиты для iOS. ИБ-исследователи имеют возможность заработать на 0-day багах для Android, эксплуатация которых не потребует взаимодействия с пользователем, до 2 500 000 долларов США. Аналогичные эксплоиты для iOS стоят 2 000 000 долларов.

Таким образом, Zerodium подняла вознаграждения за такие эксплоиты для Android почти в 12 раз, по сравнению с прошлым годом (напомню, что тогда проблемы в операционной системе Google могли принести не более 200 000 долларов). Для уязвимостей меньшего калибра стоимость и вовсе возросла более чем в 100 раз. Анонс определенно был приурочен к  официальному релизу Android 10, который так же состоялся вчера, 3 сентября 2019 года.

Также брокер уязвимостей поднял стоимость эксплоитов для мессенджеров, вне зависимости от того, на какой ОС те работают. Теперь RCE- и LPE-проблемы в WhatsApp и iMessage оцениваются в 1 500 000 долларов, даже если эксплоит не позволяет сохранить присутствие в системе после перезагрузки. Если проблема требует взаимодействия с пользователем, то цена за цепочку эксплоитов снижается до 1 000 000 долларов за баги в WhatsApp и до 500 000 долларов за баги в iMessage. В прошлом году подобные уязвимости принесли бы исследователям не более 500 000 долларов.

Глава Zerodium Чауки Бекрар  рассказал журналистам издания ZDNet, что поднимая цены, его компания лишь реагирует на рыночные тенденции. Дело в том, что бизнес модель Zerodium (из-за которой компания неоднократно подвергалась жесткой критике) такова, что компания сохраняет информацию о найденных самостоятельно и купленных у третьих лиц 0-day в тайне, при этом перепродавая их крупным компаниям, правительственным организациям и силовым структурам. К примеру, АНБ или военным. Таким образом, повышение цен можно объяснить интересом, который проявляют к проблемам Android клиенты Zerodium (то есть правоохранительные органы и правительственные учреждения по всему миру).

Бекрар говорит, что в силу большой фрагментации рынка Android-устройств, компанию в первую очередь интересуют баги в девайсах Google, Samsung, Huawei и Sony, хотя другие бренды также не будут проигнорированы.

«В последние несколько месяцев мы наблюдали увеличение количества эксплоитов для iOS, в основном предназначенных для Safari и iMessage, которые создаются и продаются исследователями со всего мира. Рынок 0-day настолько насыщен эксплоитами для iOS, что недавно мы даже стали отказываться от некоторых из них, — рассказывает Бекрар, объясняя рост цен. — С другой стороны, благодаря командам безопасности Google и Samsung, безопасность Android улучшается с каждым новым выпуском, поэтому разработка полных цепочек эксплоитов для Android стала сложной и трудоемкой задачей, превосходящей по сложности даже создание zero-click эксплоитов, не требующих взаимодействия с пользователем».

Бекрар отмечает, что эксплоиты для Android будут цениться выше экслоитов для iOS до тех пор, пока  Apple не улучшит безопасность iOS и не укрепит свои слабые стороны, такие как iMessage и Safari (Webkit и песочницу).

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.