记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Zerodium将移动消息App漏洞奖金提升至50万美元

2017-08-26 23:45

该漏洞利用收购公司更新了其支付安排表,新增手机、服务器和桌面目标。

8月23日,Zerodium更新了其漏洞利用收购支付安排表,为零日漏洞利用增加了新的目标,更新了收购价格。新增目标中包括了WhatsApp、iMessage和Signa手机消息应用,Zerodium将为这些目标上本地提权零日漏洞的远程代码利用,支付最高50万美元的酬劳。

Zerodium是一家2015年成立的独立私营公司,从事零日漏洞利用收购业务。2015年9月,该公司以每个苹果 iOS 9 零日漏洞100万美元的收购价蜚声全球。一年后,2016年9月,Zerodium将iOS零日漏洞收购价提升至150万美元,该价格稳居公司单个漏洞利用价码首位。

新的50万美元手机消息漏洞价格,是应Zerodium客户的需求诞生的。

Zerodium创始人查乌基·贝克拉称:“Signal、Telegram和其他消息App在合法用户间非常流行,但罪犯也十分爱用这些App。我们的政府客户需要高级功能和零日漏洞利用,来追踪和监视依赖这些App的恐怖分子和罪犯。”

至于Zerodium为手机消息App开出的50万美元漏洞奖励,该高价的部分原因,与在这些平台上找寻可利用漏洞的难度有关。

贝克拉表示:“影响此类App的零日漏洞利用的高价值,大部分源自这些App较小的攻击界面——相对Web浏览器或文件阅读器之类其他软件而言,这让安全研究员在此类消息App中发现并利用关键漏洞十分困难。”

Zerodium的新版支付列表上,消息App不是唯一新增的移动目标,与移动操作系统捆绑的默认电子邮件App也在悬赏之列。Zerodium将为此类邮件App上利用本地提权零日漏洞的远程代码执行,同样支付高达50万美元的酬劳。

除了移动目标,服务器和桌面系统也新增了目标类型,比如USB代码执行漏洞就价值3万美元。USB漏洞及其利用程序并不罕见,不过Zerodium要找的是更特别一些的。

USB欺骗很常见,但这些不是我们的项目要找的东西,我们主要寻求的是利用操作系统漏洞的USB漏洞利用。合格的攻击应该类似震网所用的CVE-2010-2568。

CVE-2010-2568问题已于2010年10月由微软发布了补丁,但零日计划(ZDI)在2015年3月揭示:该补丁实际上并不完整。因此,微软又发布了一个新补丁,修复标识为CVE-2015-0096的扩大版漏洞。

与支付漏洞奖励并随后向受影响厂商公开漏洞细节的其他公司不同,Zerodium遵从商业披露策略,向其客户报告所有收购来的漏洞。Zerodium的零日研究馈送对Zerodium客户开放,包含有关于漏洞的安全信息,以及建议和防护措施。

我们不能透露Zerodium的总预算和支付给安全研究员的具体数额。但我们可以说,我们每年都付出数百万美元,能够帮助全世界的天才研究员体面地挣钱,我们感到非常自豪。

相关阅读

iOS零日漏洞赏金已升至150万美元
200万美元 这是2016年ZDI总共付出的漏洞赏金

 

知识来源: www.aqniu.com/news-views/27655.html

阅读:100068 | 评论:0 | 标签:牛闻牛评 Zerodium 漏洞奖金 移动安全 漏洞 移动

想收藏或者和大家分享这篇好文章→复制链接地址

“Zerodium将移动消息App漏洞奖金提升至50万美元”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词