Zerodium временно приостанавливает покупки эксплойтов iOS из-за избытка заявок
14 мая 2020, 20:25
Американская компания по информационной безопасности Zerodium объявила, что временно, в течение следующих двух-трех месяцев, перестает покупать эксплойты iOS из-за слишком большого наплыва заявок. Другими словами, выпустив такое распоряжение, компания признала, что в iOS в настоящее время обнаружено настолько много уязвимостей, что больше нет потребности в поощрении исследователей для их поиска.
Компания Zerodium, основанная в 2015 году, занимается покупкой и продажей эксплойтов нулевого дня. Эта уязвимость дает мошеннику возможность локального повышения привилегий в Apple iOS и последующего удаленного выполнения кода в web-браузере Safari или из песочницы.
Zerodium, получив информацию об обнаруженном эксплойте, не только выплачивала до недавнего времени вознаграждение исследователю, подавшему заявку, но также продавала эти уязвимости институциональным клиентам. В их число входили правительственные организации и правоохранительные органы. Компания делал акцент на уязвимостях высокого риска. Поэтому цены за найденный полнофункциональный эксплойт iOS обычно составляли от 100 тыс. до 2 млн долларов.
В течение последних двух месяцев цена за эксплойты для RCE-уязвимостей с побегом из песочницы в Safari снизилась с $500 тыс. до $200 тыс. В настоящее время фирма заплатит «$0 долларов за такие эксплойты, которые нам больше не нужны», - заявил генеральный директор Zerodium Чауки Бекрар (Chaouki Bekrar).
В своем твиттере Чауки Бекрар сказал, что безопасность iOS находится сейчас в «плохом состоянии». Он отметил, что существует по крайней мере несколько постоянных уязвимостей безопасности нулевого дня, которые затрагивают все модели смартфонов iPhone и планшетов iPad. «Будем надеяться, что iOS 14 станет лучше», - добавил Бекрар.
У Apple есть собственная программа вознаграждения за ошибки. Apple предлагает от 5000 до 1 млн долларов за уязвимости в iOS, iPadOS, macOS, tvOS или watchOS.