写点什么

安卓 0day 收购价高达 250 万美金 首次超越 iOS

  • 2019-09-05
  • 本文字数:998 字

    阅读完需:约 3 分钟

安卓0day收购价高达250万美金 首次超越iOS

有一家公司,叫 Zerodium。这家企业由一些网络安全专家创立,是全球领先的零日(0day)漏洞收购商。这家公司做的事情,是购买零日(0day)漏洞,然后向政府和执法机构等出售漏洞。



近日,Zerodium更新安卓和 iOS 的 0day 漏洞收购价,其中安卓 0day 漏洞价格超越 iOS 漏洞价格。


据悉,安卓持久性全链零点击漏洞价格达到 250 万美元,而 iOS 漏洞则为 50 万美元。自这家公司成立以来,这样的事情尚属首次。


此前,这类漏洞价格仅为 20 万美元,Zerodium 更新的安卓漏洞价格上涨 12 倍。这些漏洞可用在安卓设备上,获得持久性访问,无需来自目标用户的指示和交互。



除安卓漏洞外,Zero 还宣布提供 50 万美元用于提交 iOS 的新持久性攻击或技术,并增加了对符合条件的 iMessage 和 WhatsApp 零点击漏洞的支出。


据悉,安卓和 iOS 的 RCE+LPE 非持久性零点击漏洞此前收购价是 100 万美元,而如今上涨到 150 万美元。



Zerodium 通过收购获取 0day 漏洞源码,其收购价取决于被攻击的软件或者系统的知名度和安全级别,以及提交的漏洞质量(全链或部分链、支持的版本/系统/ 架构、可靠性、绕过漏洞利用缓解、默认与非默认组件、流程延续等)。


Zerodium 网站上列出的 0day 漏洞价格仅供参考,多半是指全功能漏洞价格。如果漏洞是“特殊的”并满足其“最高要求”,Zerodium 可能会支付更多费用。


一位名为“Christopher Nguyen”的网友在推特上发文称,“Zerodium 基本上是说安卓比 iOS 更安全。这家公司降低了苹果 iOS 持久性全链(一次点击)漏洞价格,从之前的 150 万美元降到 100 万美元。”



”由于谷歌和三星的安全团队,安卓发布的每一个版本都更安全,因此开发安卓漏洞全链变得非常困难和耗时,而且开发无用户互动的零点击漏洞变得更加困难。” Zerodium 的首席执行官 Chaouki Bekrar 说。


2019 年 3 月,Zerodium 宣布它正在寻求购买 VMware ESXi(vSphere)或 Microsoft


Hyper-V 漏洞,即 Guest-to-Host 逃逸。可靠的 0day 漏洞可以在默认配置上运行,并且可以访问完全主机,最高可达 50 万美元。


当然,Zerodium 不是市场中唯一收购 0day 漏洞的公司,还有其他公司也在收购,比如 Crowdfense 在 2018 年 4 月推出了自己的 1000 万美元的漏洞赏金计划。


相关文章:


https://securityaffairs.co/wordpress/90767/hacking/zerodium-price-list.html


https://www.bleepingcomputer.com/news/security/zerodium-makes-android-zero-days-more-expensive-than-ios/


2019-09-05 14:546596

评论

发布
暂无评论
发现更多内容

【LeetCode】丢失的数字Java题解

Albert

算法 LeetCode 11月日更

Android O 新特性:自适应图标(Adaptive Icons)

android 程序员 移动开发

Android C++系列:JNI基本操作

轻口味

android 11月日更

在Electron中简单实现拖拽功能

废材壶

node.js 大前端 Electron

关于调度器的一些思考

Rayjun

调度器 Go 语言

android okhttp异步请求使用详解 (2)

android 程序员 移动开发

Android Studio 教程:入门开发第一个程序

android 程序员 移动开发

Android Native Crash 收集

android 程序员 移动开发

入门Node.js 处理错误

废材壶

node.js 大前端

Android O 新特性:自适应图标(Adaptive Icons)(1)

android 程序员 移动开发

Android Studio 4

android 程序员 移动开发

Nebula 分布式图数据库介绍

Se7en

Android UI--ViewPager扩展Tab标签指示

android 程序员 移动开发

Android WebView常见问题

android 程序员 移动开发

【译】Node.js Buffers 完整指南

废材壶

node.js 大前端

Android JNI 入门(含完整Demo)

android 程序员 移动开发

Android P 适配指南

android 程序员 移动开发

Android Studio安装更新终极解决方式

android 程序员 移动开发

Android Switch控件修改样式

android 程序员 移动开发

Android Launcher——ui框架

android 程序员 移动开发

Android Material Design尝鲜

android 程序员 移动开发

Android OpenCV(三十七):轮廓外接多边形

android 程序员 移动开发

Android SDK 网络模块解析(1)

android 程序员 移动开发

Android TextView的属性与应用

android 程序员 移动开发

Android SpannableString详细解析

android 程序员 移动开发

[ CloudWeGo 微服务实践 - 06 ] 服务发现(1)

baiyutang

golang 微服务 11月日更

Android Studio 插件

android 程序员 移动开发

Android View 绘制流程

android 程序员 移动开发

【译】TypeScript的Record类型说明

废材壶

typescript

Android SDK 网络模块解析

android 程序员 移动开发

Android VideoPlayer

android 程序员 移动开发

安卓0day收购价高达250万美金 首次超越iOS_安全_万佳_InfoQ精选文章