专栏首页FreeBufAndroid 0day收购价高达250万美金,首次反超iOS

Android 0day收购价高达250万美金,首次反超iOS

近日,漏洞收购商Zerodium更新了安卓和iOS的0day漏洞收购价,发现自2015年公司成立以来,安卓0day漏洞价格首次高于iOS漏洞价格。

此外,Zerodium将这次变动发布在推特上。其中,还提及了在当前的市场上iMessage和WhatsApp的零点击漏洞价格有所上升,而iOS的一次点击漏洞价格有所下降。

安卓和iOS的RCE + LPE非持久性零点击漏洞之前收购价是100万美元,而如今则上涨到150万美元。Zerodium发布了新的漏洞列表,其中,安卓持久性全链零点击漏洞价格达到250万美元,而iOS漏洞则为50万美元。

特殊0day漏洞的奖励甚至更高

该公司降低了部分漏洞收购价格,比如苹果iOS持久性全链(一次点击)漏洞,现在从之前的150万美元降价为现在的100万美元。而现在网络安全研究人员愿意出售iMessage RCE + LPE非持久性(一次点击)漏洞源码,他们以前没有提交的0day漏洞只比漏洞奖金减少了50万美元。

Zerodium通过收购获取0day漏洞源码,其收购价取决于被攻击的软件或者系统的知名度和安全级别,以及提交的漏洞质量(全链或部分链、支持的版本/系统/ 架构、可靠性、绕过漏洞利用缓解、默认与非默认组件、流程延续等)。

Zerodium网站上列出的0day漏洞价格仅供参考,多半是指全功能漏洞价格。如果漏洞是“特殊的”并满足其“最高要求”,Zerodium可能会支付更多费用。

漏洞利用获取平台不同,评估和验证漏洞的时长也不一样。但一般是在一周内评估和验证所有提交的漏洞。通过银行转账或加密货币(如比特币或Monero)分一次或多次付款而第一笔付款至少在一周内就能发放。

市场上的iOS漏洞泛滥如潮

Zerodium的首席执行官Chaouki Bekrar说到,“过去几个月,我们观察到世界各地的研究人员开发和出售的iOS漏洞数量有所增加,主要是Safari和iMessage链。0day漏洞市场也是如此,所以我们最近开始拒绝收购一些iOS漏洞。“

“另一方面,由于谷歌和三星的安全团队,安卓发布的每一个版本都更安全,因此开发安卓漏洞全链变得非常困难和耗时,而且开发无用户互动的零点击漏洞变得更加困难”

鉴于这种新的市场背景和趋势,Zerodium决定提高Android漏洞收购价格,除非苹果进一步提升iOS的安全性并加强其最薄弱的部分,即iMessage和Safari(Webkit和沙箱)。

当被问及WhatsApp零点击漏洞的收购价上升背后是否有任何特殊原因时,Zerodium的首席执行官表示,主要还是在于对WhatsApp漏洞需求增加”。

高质量0day漏洞需求增加

5月初,Zerodium增加了一类新漏洞,“该漏洞会影响三星S10 / S9的安全启动加载程序(S-Boot),并通过物理访问导致任意代码执行、安全旁路或数据访问,但在新类别的范围内只添加了安卓 9或8的Exynos型号。

两个月前,Zerodium宣布它正在寻求购买VMware ESXi(vSphere)或Microsoft Hyper-V漏洞,即Guest-to-Host逃逸。可靠的0day漏洞可以在默认配置上运行,并且可以访问完全主机,最高可达50万美元。

Zerodium不是市场中唯一收购0day漏洞的公司,还有其他公司也在收购,比如Crowdfense在2018年4月推出了自己的1000万美元的漏洞赏金计划。

Crowdfense说,“在2019年,我们将发布更大的1500万美元收购计划,扩大范围,包括其他重要的研究领域,包括网络设备、WiFi /基带和信使。对于全链、未提交过的、特殊的漏洞,每次成功提交后的酬金从10万美元到300万美元不等。部分链将根据具体情况进行评估,并按比例定价。”

本文分享自微信公众号 - FreeBuf(freebuf),作者:Sandra1432

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-09-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 企业安全建设之漏洞管理与运营

    对于企业内部的安全工程师来说,对漏洞一直又爱又怕,爱在,漏洞的发现与验证实现的过程,充满满满的成就感;怕在,不断的新系统上线,老系统版本更新迭代,造就一批批的漏...

    FB客服
  • 企业漏洞管理的4大误区

    根据IBM的2019年数据泄露成本报告,美国数据泄露的平均成本为819万美元。公司平均需要206天才能识别出泄露,尝试解决这些问题则平均需要38天。

    FB客服
  • 一个漏洞能潜伏多少年?细数那些有名的高龄安全漏洞

    在评估漏洞影响时,人们关注的往往是漏洞风险,而实际上,漏洞潜伏的时间也是一个非常重要的因素。时间跨度大,也就意味着在此期间使用这些含有漏洞的软件的设备更多,影响...

    FB客服
  • 针对《网络安全漏洞管理规定(征求意见稿)》的一些看法:利大于弊

    6月18日晚间,工信部一纸《网络安全漏洞管理规定 (征求意见稿)》(以下简称规定)很快引爆了安全圈……FreeBuf上一位作者及时发布了一篇针对该意见稿的解读文...

    FB客服
  • 针对网络安全信息漏洞的报告总结!

    目前在这个世界中,各个城市各个企业,不管大小都会上演关于各种形形色色的信息安全漏洞以及各种攻击。那么墨者安全就根据CNVD整理出的信息安全漏洞数据,针对上周20...

    墨者盾
  • 初识弱点扫描

    这个数据库是OffensiveSecurity 维护的,收集了大量的意已知漏洞的PoC 和 Exp,也是我们查找漏洞利用代码的主要途径之一

    意大利的猫
  • 【漏洞治理】漏洞调研报告(非完整版)

    “ 在大型网络安全攻防活动前夕,互联网上又出现不少漏洞治理相关文章,部分微信群也纷纷进行热议。关于漏洞的治理,仍旧是网安行业经久不衰的话题。”

    aerfa
  • 企业漏洞管理的4大误区

    根据IBM的2019年数据泄露成本报告,美国数据泄露的平均成本为819万美元。公司平均需要206天才能识别出泄露,尝试解决这些问题则平均需要38天。

    FB客服
  • 鉴谈漏洞利用

    前言本来不想讲这个事情,但是因为很多小白对这方面可能不太了解,所以讲一讲,关于鉴定网络上流传漏洞poc或exp的方法,原因是这二天关于cve-2019-0708...

    周俊辉
  • 企业安全建设之漏洞管理与运营

    对于企业内部的安全工程师来说,对漏洞一直又爱又怕,爱在,漏洞的发现与验证实现的过程,充满满满的成就感;怕在,不断的新系统上线,老系统版本更新迭代,造就一批批的漏...

    FB客服

扫码关注云+社区

领取腾讯云代金券