Агрегатор данных от хакеров Operation Zero резко повысил ставку за информацию об уязвимостях нулевого дня на Android и iOS с $200 тысяч до $20 млн.
«Повышая премию и предоставляя конкурентоспособные планы и бонусы, мы поощряем команды разработчиков работать с нашей платформой», — написали представители агрегатора.
Operation Zero, который базируется в России и работает с 2021 года, сообщает, что уязвимости будут раскрывать для стран, «не входящих в НАТО». При этом на официальном сайте компании говорится, что её клиентами «являются только российские частные и государственные организации».
Генеральный директор Operation Zero Сергей Зеленюк назвал резкое повышение ставок временным и объяснил его сложностью взлома iOS и Android. «Полная цепочка эксплойтов для мобильных телефонов сейчас является самым дорогим продуктом, и они используются в основном государственными структурами», — пояснил он.
В отличие от традиционных платформ вознаграждения за обнаружение ошибок, таких как Hacker One или Bugcrowd, Operation Zero не предупреждают поставщиков об уязвимости их продуктов.
Аналогичным образом действует компания Zerodium, которая предлагает до $2,5 млн за цепочку эксплойтов, позволяющих клиентам взломать устройство Android без взаимодействия с ним. Её конкурент Crowdfense из Объединённых Арабских Эмиратов предлагает до $3 млн за аналогичную информацию.
Рынок уязвимостей нулевого дня сейчас практически не регулируется. При этом в Китае недавно приняли закон, который требует, чтобы исследователи безопасности предупреждали правительство об ошибках, прежде чем отправить эту информацию производителям программного обеспечения. Этот закон, по мнению экспертов, фактически означает, что Китай будет использовать уязвимости в разведывательных целях.
В конце июня Apple в обновлениях iOS 16.5.1 и iOS 15.7.7 закрыла две найденные экспертами «Лаборатории Касперского» критические уязвимости. Они могли позволить хакерам запускать произвольный код на iPhone с привилегиями уровня ядра системы в версиях iOS до 15.7.
Источник новости: habr.com
