Zerodium готова заплатить $1 млн за эксплоиты для WhatsApp и iMessage

image

Теги: Zerodium, эксплоит, WhatsApp

Компания также повысила награду за техники обхода PIN-кодов и механизма TouchID на Android- и iOS-устройствах.

Компания Zerodium, специализирующаяся на купле-продаже эксплоитов для уязвимостей в различных платформах, объявила об увеличении сумм выплат за инструменты для взлома. В частности, сейчас брокер предлагает вознаграждение в размере до $2 млн (ранее сумма составляла $1,5 млн) за эксплоиты для уязвимостей в iOS, позволяющие удаленно скомпрометировать систему без участия пользователя. За инструменты, требующие минимального взаимодействия с пользователем, исследователи смогут получить $1,5 млн.

Кроме того, компания вдвое увеличила сумму выплат за эксплоиты для уязвимостей в мессенджерах WhatsApp, iMessage и SMS/MMS сервисах – до $1 млн. На эксплоитах для браузеров Google Chrome и Safari соискатели могут заработать $500 тыс. при условии, что их эксплоит предоставит возможность удаленного выполнения кода, повышения прав на системе и выхода из окружения песочницы.

Также значительно возросла награда за техники обхода PIN-кодов и механизма TouchID на Android- и iOS-устройствах – с $15 тыс. до $100 тыс. Изменения коснулись и категорий десктопных и серверных систем – если ранее за эксплоиты для них предлагалось $500 тыс., то сейчас сумма возросла до $1 млн (за цепочку эксплоитов для уязвимостей в Windows, позволяющих инициировать удаленное выполнение кода через SMB или RDP без участия пользователя). Помимо прочего, компания в два раза увеличила вознагражение за RCE-уязвимости в Outlook, Microsoft Exchange Server, PHP и OpenSSL.

В сентябре минувшего года Zerodium опубликовала эксплоит, позволяющий выполнить код JavaScript в браузере Tor даже при выставленных максимальных настройках безопасности. Как тогда пояснил гендиректор Zerodium Чауки Бекрар (Chaouki Bekrar), компания приобрела эксплоит «много месяцев назад» и уже успела поделиться им с правительственными структурами, которые, предположительно, использовали его для «борьбы с преступлениями и насилием над детьми».

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.