Фирма Zerodium специализируется на покупке и перепродаже уязвимостей нулевого дня.
На днях площадка обновила свой прайс-лист как раз в дату официального релиза Android 10. Произошло любопытное изменение: на рынке перепродажи эксплойтов теперь больше ценятся «дыры» в Android, а не iOS, это случилось впервые в истории IT и ИБ. Основатель площадки объясняет это тем, что последних в последнее время стало слишком много.
Zerodium подняла цены на эксплоиты для Android. Теперь брокер готов выплатить до $2,5 млн за полную цепочку уязвимостей в Android, которая обеспечивает персистентность и не требует взаимодействия с пользователем. За аналогичный комплект эксплоитов для iOS цена ниже — всего $2 млн. Цену на эксплойты для веб-браузеров с атакой на iPhone за один клик даже уменьшили с $1,5 млн до $1 млн.
До этого эксплойты для iOS Zerodium ценила выше, а цены на них были максимальными.
В комментарии для Wired основатель компании Чаоки Бекрар объяснил логику таких действий. За последние несколько месяцев в Zerodium зафиксировали увеличение числа эксплойтов для iOS, в основном для цепочек Safari и iMessage. Рынок на данный момент переполнен уязвимостями iOS, утверждают в Zerodium. От покупки некоторых из них компания и вовсе начала отказываться. Конечных покупателей Zerodium теперь интересуют более сложные и изощренные эксплоиты для большого рынка пользователей с гаджетами на Android.
В другом своем сообщении Бекрар и вовсе хвалит улучшение состояние ИБ-инфраструктуры в Android. Безопасность устройств на Android улучшается с каждым обновлением, а разработка новых и сложных цепочек эксплоитов для ИБ-специалистов на Android становится все сложнее, а трудоемкость их поиска и успешной реализации очень высока.
Zerodium не заинтересована в разглашении и передачи купленных и подтвержденных ее специалистами обнаруженных уязвимостей и эксплоитов производителям устройств для их последующей нейтрализации. Бизнес Zerodium — это перепродажа эксплоитов, купленных по своему очень высокому прайс-листу. Причем покупателями могут быть другие компании, правительства и спецслужбы, а брокера не интересует конечная цель применения этих уязвимостей и эксплойтов.
Действительно, благодаря плодотворной работе подразделения кибербезопасности Google Project Zero и расширению программ Google Play Security Rewards Program (GPSRP) и Developer Data Protection Reward Program (DDPRP), данные пользователей устройств на Android оказываются защищены лучше, чем на iOS.
Маор Шварц, независимый исследователь уязвимостей в интервью для WIRED, подтвердил, что изменения на рынке уязвимостей соответствуют его собственным наблюдениям.
«В сегодняшней реальности большинство целей — это Android, а там уязвимостей становится все меньше и меньше, потому что многие из них уже были исправлены Google и другими компаниями-разработчиками», — заявил Шварц.
«Примерно с год назад, клиенты начали спрашивать меня, знаю ли я кого-нибудь, кто работает на Android и успешно ищет там уязвимости? Я начал понимать, что рынок меняется», — рассказал Шварц.