Zerodium由网络安全专家创建,通常被称为相对谨慎的网络安全业务,即“零日”漏洞利用经纪人。
这真正意味着华盛顿特区的秘密创业公司购买了软件程序中存在的高影响力和高风险的漏洞,这些漏洞将允许攻击者在受害者零交互的情况下渗透到用户的设备中。
Zerodium正积极为当今市场上一些最常用的软件产品获取零日攻击,包括:
智能手机:Apple iOS 13.x-12.x,Android 9.x-8.x,BlackBerry 10和Windows 10 Mobile
操作系统:Microsoft Windows,Linux / BSD,Apple macOS和VMware ESXi
Web浏览器:Google Chrome,Microsoft Edge,Mozilla Firefox和Apple Safari
Web服务器:Apache HTTP Server,Microsoft IIS Server,nginx Web服务器,PHP / ASP和OpenSSL / mod_ssl
电子邮件服务器:Microsoft Exchange,Dovecot,Postfix,Exim和Sendmail
互联网路由器:华硕,思科,D-Link,华为,Linksys,MikroTik,Netgear,TP-Link和Ubiquiti
Android漏洞的价格现在高于iOS
然而,在星期二的一个惊喜公告中,Zerodium更新了它的赏金计划,并表示它将支付高达250万美元的零点击全链Android漏洞利用持续性- 它为零日攻击付出的最多 -同时苹果移动操作系统(iOS)的同一漏洞利用价格维持在200万美元。
这仍然是苹果将向安全研究人员支付iPhone和Mac中零日攻击的100万美元奖励的两倍 - 这是迄今为止任何一家大型科技公司提供的最高漏洞奖励。
虽然Zerodium将支出减少了500,000美元- 从150万美元减少到100万美元 -对于针对iPhone访问陷阱网站的“一键式”iOS攻击,漏洞经纪人确实为WhatsApp和iMessage零日增加了50万美元的奖金漏洞,现在最多可以获得150万美元。
阿瑟顿研究见解
Android漏洞利用价格上涨和iPhone黑客攻击减少有两个主要原因:
Android越来越安全,零日漏洞越来越难以实现
最近,市场上充斥着大量零日iPhone盗版,这已经压低了这些漏洞的定价
现在,安全研究人员面临的困境是,是否将他们的零日漏洞直接出售给软件开发人员,如苹果,谷歌或微软,或者像Zerodium这样的漏洞经纪人,他们支付更高的价格,然后将其卖给最有可能的客户。包括政府机构和其他私人组织。
