За полный взлом iPhone известный «брокер уязвимостей» готов заплатить $2 000 000

Компания Zerodium, которую называют одним из наиболее известных брокеров уязвимостей, объявила об увеличении сумм выплат за инструменты для взлома iMessage и компрометацию всего iPhone.

Zerodium увеличила суммы вознаграждений за следующие уязвимости нулевого дня:

  • $2 млн. (вместо $1,5 млн.) за удаленный джейлбрейк iOS, позволяющий скомпрометировать систему без участия пользователя.
  • $1,5 млн. (вместо $1 млн.) за удаленный джейлбрейк, требующий минимального взаимодействия с пользователем.
  • $1 млн. (вместо $500 тыс.) за уязвимости в приложении iMessage.
  • $500 тыс. (вместо $200 тыс.) за уязвимости браузера Safari с возможностью удаленного выполнения кода, выхода из окружения песочницы, повышения прав в системе.
  • $200 тыс. (вместо $100) за локальное повышение привилегий для ядра или root в iOS.
  • $100 тыс. (вместо $15 тыс.) за техники обхода PIN-кодов и механизма Touch ID в iOS.

Удалённый джейлбрейк — практически полный взлом iPhone, дающий хакеру доступ к файловой системе, что открывает неограниченные возможности для кражи данных и управления устройством.

Уязвимость нулевого дня или 0-day — ошибки в ПО или вредоносные механизмы воздействия, против которых еще не разработаны эффективные меры. Сам термин означает, что у разработчиков было 0 дней на исправление дефекта: уязвимость или атака становится публично известна до момента выпуска производителем ПО исправлений ошибки. Хакеры могут использовать уязвимость в своих личных целях или же для разработки джейлбрейка.

Бизнес-модель Zerodium довольно специфична. Компания специализируется на скупке и перепродаже эксплойтов в программном обеспечении. Компания действует в интересах правительственных служб по всему миру. Она хранит в тайне данные о найденных самостоятельно или купленных у третьих лиц способах взлома различных программ. А затем перепродает секретную информацию правительству, силовым структурам и крупным компаниям.

Zerodium постоянно подвергается жестокой критике, но от своих принципов не отказывается. Основатель компании Чауки Бекрар (Chaouki Bekrar) считает, что возможность получения удаленного доступа к различным приложениям помогает спецслужбам работать эффективнее.

Разработчики, обнаружив ту либо иную уязвимость, не спешат делиться информацией о своей находке с представителями компании, чье ПО было скомпрометировано. Вознаграждение Zerodium обычно существенно выше, чем выплаты IT-корпораций. К примеру, в 2016 году Apple тоже запускала собственную программу безопасности для выявления уязвимостей нулевого дня. Но большинство хакеров эту инициативу проигнорировали. Apple предлагала только $200 тыс. за серьезную уязвимость, которую на черном рынке оценили бы гораздо выше.

Хакеров не может не привлекать и оперативность, с какой Zerodium проверяет найденные эксплойты и выплачивает за них вознаграждение. На сайте компании указано:

«Zerodium оценивает и проверяет все представленные исследования в течение одной недели или меньше. Выплаты осуществляются одним или несколькими платежами по безналичному расчету или в криптовалютах, таких как Bitcoin или Monero. Первый платеж отправляется в течение одной недели или меньше».

Источник: Zerodium


MDlavka — наш магазин для любимых читателей. Новинки техники Apple по самым приятным ценам ждут вас каждый день с 10:00 до 21:00. Читателям Macdigger.ru — скидка.

Источник: MacDigger.ru

Следите за новостями Apple в нашем Telegram-канале, а также в приложении MacDigger на iOS.

Присоединяйтесь к нам в Twitter, ВКонтакте, Facebook, или через RSS, чтобы быть в курсе последних новостей из мира Apple, Microsoft и Google.


3 комментария