资料来源:cnn.com世界上有许多在信息安全领域工作的公司,但方向似乎相反。 这样的组织购买有关已知和不太常见的服务和应用程序的黑客方法的信息,还购买漏洞利用程序。
一个这样的组织,Zerodium,
宣布了其WhatsApp和iMessage破解工具的100万美元奖励。 将向那些提供允许访问移动操作系统的SMS / MMS应用程序的漏洞利用的用户支付类似的费用。
所有这一切都在绝对合法的法律领域。 该组织为了全球政府服务的利益而工作。 Zerodium创始人Chauki Bekrar说:“包括WhatsApp在内的消息应用程序有时会充当攻击者的通信渠道,并且加密使安全服务难以获取必要的数据。” 他认为,获得对此类各种应用程序的远程访问的能力有助于情报机构更有效地工作。
值得注意的是,攻击者的iPhone受损可能使该州损失200万美元甚至更多。
如此高的价格表明小工具的确得到了更好的保护。 即使是高级专家也很难破解它们,这适用于iOS和Android。 特殊服务的生活非常复杂,因为即使电话落入警察或情报机构的手中,也很难总是从中提取信息。
直到今天,Zerodium还是愿意为入侵WhatsApp和iMessage支付50万美元。 现在问题的价格变得更高了,显然,政府的特殊服务已经准备为“问题解决”支付更多的费用。
100万美元不是上限。 各国政府愿意付出更多,这全取决于要解决的任务的紧迫性和需要完成的工作规模。 自然,没有人会与有关的信使公司共享信息。 事实并非如此。 购买漏洞是为了独立使用,并保留有关黑客入侵可能性的秘密信息。
由于获得了丰厚的回报,黑客信使可以与整个专家团队打交道,而不是像以前那样独来独往。 初创公司Zerodium的负责人表示,“零日行业”中的“产品”现在比以往任何时候都多。 “您甚至无法想象在这个市场上正在开发和销售什么产品,” Bekrar说。
值得注意的是,Zerdium的奖励远高于许多组织的赏金计划的“奖励”。 因此,发现特定漏洞的开发人员不急于与受感染软件的开发人员共享有关其发现的信息。 结果,出现了有趣的情况。 例如,苹果针对2016年发现的漏洞启动了奖励计划。 但是,尚不清楚是否有人获得过奖励。 在2017年,
没有这样的人 。
如果Zerodium为远程iOS越狱支付200万美元,谁愿意分享这些数据? 这是苹果公司的10倍以上-在赏金计划的框架内,公司可以支付不超过20万美元,而且如果库比蒂诺的专家不喜欢这种东西,甚至根本就不会发生。 就在几个月前,Zerodium准备好比现在少支付50万美元-显然,初创客户的需求正在增长。 而且,不仅iOS的漏洞变得越来越昂贵。 对于Chrome RCE + LPE漏洞,其支付金额为500,000美元,这比接收用于黑客入侵iOS的工具的金额要少,但金额仍然非常可观。
该公司的客户以前是方程式小组(FiveEyes,Tilded Team)和动物农场(Snowglobe)等政府部门。 那些信息安全专家联系了该公司,他们希望获得比其产品被黑客入侵且不想等待几个月的公司更多的信息(查看有关Apple,Facebook,Microsoft等黑客活动的信息)。 在Zerodium,在开始审查有关破解者提出的工具的数据后一周之内就付款了。