漏洞交易平台Zerodium更新了其针对0-Day漏洞的报价,以鼓励更多人向他们提交已发现的漏洞。向任何能够为iOS 12.x提供零日远程攻击的人提供了200万美元的资金。 Zerodium正式宣称支付符合条件的0-Day漏洞,金额从2000美元到200万美元不等。从Zerodium到研究人员获取原始0-Day漏洞的成本取决于受影响软件/系统的受欢迎程度和安全级别以及提交的漏洞质量(支持的版本/系统/体系结构,可靠性,绕过的漏洞缓解,默认和非默认组件,进程延续等)。
为什么Zerodium提供如此巨额的资金? 简单。 因为他们相信他们可以通过卖给别人来赚钱。
Announcement: We are increasing our bounties for almost every product.
We're now paying $2,000,000 for remote iOS jailbreaks, $1,000,000 for WhatsApp/iMessage/SMS/MMS RCEs, and $500,000 for Chrome RCEs.
More information at: https://t.co/0NBRnq4I4y pic.twitter.com/vXDyxC3Q4v
— Zerodium (@Zerodium) January 7, 2019
与其他漏洞交易平台一样,Zerodium收购0-Day漏洞并将其出售给政府机构和执法机构,但许多隐私权倡导者担心,一些监控公司可能利用这些漏洞将其产品卖给非法组织。
像Zerodium这样的漏洞代理商为漏洞研究人员提供了巨额现金,如果他们能够发现破解操作系统的方法,最终将其出售给他们的客户。 他们的客户对他们做了什么?
好吧,如果认为苹果,谷歌和微软等厂商能够克服这些漏洞并使用这些信息来修补他们的系统,那就太棒了。 但事实是,我怀疑Zerodium的大多数客户是政府和情报机构,他们利用零日攻击来监视涉嫌犯罪分子,恐怖分子,有关人士和外国人。
而那些类型的客户不希望苹果,微软和谷歌等厂商修补这些漏洞。 只要修补零日,其价值就会大幅下降 - 特别是在像iOS这样的平台上,大部分设备都会及时更新最新的安全修复程序。
许多软件和硬件制造商确实向以负责任的方式发现和泄露漏洞的研究人员提供漏洞奖励,确保生成补丁以提高所有互联网用户的安全性。但是你很难找到一家科技公司准备支付的费用与想要利用漏洞远程监视智能手机而没有其所有者怀疑的智能机构一样多。
值得庆幸的是,并非所有漏洞研究人员都纯粹是通过最大化他们从发现中赚取的金额来实现的。但我们不应该天真。这里还有别的东西。
Zerodium等远程iOS攻击提供的巨额资金确实表明,情报机构需要这样的零日漏洞,而且他们在平台上也不容易实现。这本身可能会使一些潜在目标使用iPhone比使用Android智能手机更舒服。
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx
本文永久更新链接地址:https://www.linuxidc.com/Linux/2019-01/156284.htm
