一家俄羅斯公司發(fā)布公告，將以最高2000萬美元的價格收購iOS和安卓系統(tǒng)的零日漏洞利用鏈，并拒絕對北約國家銷售。

前情回顧·零日漏洞市場

商業(yè)間諜軟件猖獗！2022年底至少使用5個零日漏洞，安卓蘋果設(shè)備通殺

2021年至少7個零日漏洞被商業(yè)化！間諜軟件行業(yè)正蓬勃發(fā)展

2021年零日漏洞在野利用狀況：數(shù)量創(chuàng)紀錄，傳統(tǒng)漏洞為主

安全內(nèi)參10月8日消息，一家收購并出售零日漏洞的公司出價2000萬美元（約合人民幣1.46億元），向安全研究人員購買黑客工具，幫助該公司的客戶入侵iPhone和安卓設(shè)備。這家名為Operation Zero的公司總部位于俄羅斯，于2021年成立。9月底，Operation Zero在Telegram和X（即推特）官方帳戶上宣布，他們將發(fā)現(xiàn)主流移動平臺零日漏洞的報酬從20萬美元提高到2000萬美元。

該公司稱：“我們提高賞金，并為合同工作提供有競爭力的計劃和獎金，意在鼓勵開發(fā)團隊與我們的平臺合作。和以前一樣，我們的最終用戶是非北約國家。公司在其官方網(wǎng)站上表示：“我們的客戶僅為俄羅斯的私人和政府組織。”當(dāng)被問及他們?yōu)槭裁粗幌蚍潜奔s國家售賣產(chǎn)品，Operation Zero首席執(zhí)行官Sergey Zelenyuk拒絕透露原因。他說：“除了顯而易見的原因外，沒有其他原因。”Zelenyuk還表示，Operation Zero目前提供的賞金金額可能是暫時的，反映了這段時間特殊的市場行情，以及入侵iOS和安卓系統(tǒng)的難度。Zelenyuk在一封電子郵件中寫道：“特定項目的定價在很大程度上取決于在零日市場上獲取產(chǎn)品的難易程度。目前，移動智能手機的全鏈條漏洞是最昂貴的產(chǎn)品，主要由政府行為者使用。有時，需要某種產(chǎn)品的行為者愿意出高價，趕在他方之前獲得產(chǎn)品。

零日漏洞市場中介層出不窮

至少近十年以來，世界各地的各種公司一直向安全研究人員提供賞金，鼓勵出售漏洞和利用這些漏洞的黑客技術(shù)。與HackerOne或Bugcrowd等傳統(tǒng)漏洞賞金平臺不同，Operation Zero這樣的公司不會向產(chǎn)品易受攻擊的供應(yīng)商發(fā)通知，而是將這些漏洞出售給政府客戶。這本質(zhì)上是一個灰色市場，價格波動大，客戶身份通常保密。但是，也有公司像Operation Zero這樣公開發(fā)布價格表。比如，Zerodium成立于2015年，提供250萬美元的賞金，鼓勵尋找讓客戶無需與目標(biāo)互動即可入侵安卓設(shè)備的漏洞鏈。打個比方，目標(biāo)不必點擊釣魚鏈接就會被黑。Zerodium官網(wǎng)表示，對于上述類型的漏洞鏈，他們會提供最高200萬美元的賞金。由于現(xiàn)代移動設(shè)備的安全緩解措施和防御不斷增強，黑客可能需要一系列零日漏洞才能完全入侵并控制目標(biāo)設(shè)備。總部位于阿聯(lián)酋的Crowdfense是Zerodium的競爭對手。他們?yōu)榘沧亢蚷OS系統(tǒng)相同類型的漏洞鏈開出最高300萬美元的賞金。Zelenyuk表示，他認為Zerodium和Crowdfense提供的賞金不至于降低到如此低的水平。Zelenyuk說：“Zerodium的價格表已經(jīng)過時。他們不可能還用這么低的價格購買漏洞。他們只是懶得更新價格表。更不更新都不影響零日業(yè)務(wù)的正常運行?！绷闳帐袌龌旧喜皇鼙O(jiān)管。但在某些國家，公司可能需要從所在國政府獲得出口許可證。本質(zhì)上，這個過程是請求批準(zhǔn)向某些可能受限制的國家出售產(chǎn)品。如此一來，零日市場已被割裂，受政治影響越來越大。

參考資料：techcrunch.com

關(guān)注公眾號：拾黑（shiheibook）了解更多

友情鏈接：

關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/
安全、綠色軟件下載就上極速下載站：https://www.yaorank.com/