Zerodium公司又被称为“网络军火商”,他们收集各类0day漏洞,再高价卖给包括政府在内等有需要的客户。 越狱0day漏洞又涨价了除了像去年十一月那样的特殊情况:一名黑客由于发现了一个iOS 9系统的0day漏洞——远程越狱iOS 9系统设备,在Zerodium举办的一场漏洞赏金比赛中赢得了高达100万美元的奖金。一般情况下,Zerodium对iOS 0day漏洞的报价最高也就是50万美元。 但在今年,iOS 10一发布,Zerodium就直接将报价提高三倍,愿意支付150万美元来购买具有同样功能的0day漏洞。只是这个越狱漏洞针对的是iOS 10系统。公司CEO Chaouki Bekrar还说这个悬赏在一年之内都是有效的。这个倒是符合Zerodium的一贯风格,一旦有最新的版本发布,Zerodium就不再对旧系统的漏洞感兴趣了。 跟去年相比,财大气粗的Zerodium公司对各类工具系统0day漏洞的报价都有了明显的提高。除了iOS系统,连谷歌最新发布的Android系统也没有放过,翻倍之后的奖金也高达20万美金。Flash利用逃离沙箱隔离的漏洞,也从80万直接涨到了100万美元。Word和Excel,win10阅读器的漏洞都从去年的30万美元分别变成了今年的40万和50万美元。 下面就是2015年和2016年Zerodium公司的各类漏洞报价。 Zerodium2015年报价 Zerodium2016年报价 Zerodium为什么愿意花这么多钱?像是苹果和谷歌这样的公司,从来没有停止过自我提升的脚步,他们的软件和系统都在不断的完善过程中,这样的0day漏洞将会越来越难发现。所以说,新版本的系统中发现的0day漏洞和软件缺陷,因为发现的难度不一样,价值自然会随之提高。
与公司进行交易的一些政府机关普遍饱受安全漏洞的困扰。如果他们在购买0day漏洞之后能够正确利用这些漏洞,就可以远程入侵目标人物的手机,实现一些不可告人的目的。
虽然Zerodium公司的奖金之高是业内公认的。苹果作为系统的发行方也没有坐视不理,他们邀请了一些知名的安全研究专家和团队,打算在这个月小范围开展关于iOS 10系统0day漏洞的赏金计划,暂时只有受邀人士才能参加。不过他们的奖金只有20万美元,还是无法跟Zerodium相提并论。 *参考来源:SOFTPEDIA/NETWORKWORLD,FB小编孙毛毛编译 |