Новий стартап з нульовим днем пропонує 20 мільйонів доларів за інструменти для зламу будь-якого смартфона
Новий стартап з Об’єднаних Арабських Еміратів пропонує до $20 мільйонів за інструменти для зламу, які можуть допомогти урядам отримати доступ до будь-якого смартфона через текстове повідомлення.
Компанія Advanced Security Solutions розпочала свою діяльність цього місяця і наразі пропонує одні з найвищих винагород у ринку нульових днів. Нульові дні – це недоліки в програмному забезпеченні, які на момент їх виявлення невідомі виробнику. Ці інструменти можуть бути дуже цінними для хакерів, особливо тих, хто працює на правоохоронні органи та розвідувальні служби.
Окрім найвищої винагороди у $20 мільйонів, що стосується будь-якої мобільної операційної системи, компанія також пропонує винагороди за експлойти у різному програмному забезпеченні: $15 мільйонів за аналогічні нульові дні для Android та iPhone; $10 мільйонів за Windows; $5 мільйонів за Chrome; $1 мільйон за браузери Apple Safari та Microsoft Edge, серед інших.
Неясно, хто стоїть за цією компанією та її клієнтами.
“Ми надаємо можливості урядовим агентствам, розвідувальним службам та правоохоронцям діяти з точністю на цифровому полі бою,” – йдеться на сайті компанії. “Ми підтримуємо постійну співпрацю з більш ніж 25 урядами та розвідувальними агентствами по всьому світу. Наші клієнти постійно повертаються за новими послугами, що відображає довіру та стратегічну цінність, яку ми надаємо в умовах високих ризиків, включаючи антитерористичні операції та контроль за наркотиками.”
Також зазначається, що, хоча компанія нова, “вона має виключно професіоналів з більше ніж 20-річним оперативним досвідом в елітних розвідувальних підрозділах та приватних військових підрядниках.”
Advanced Security Solutions не відповіла на ряд запитань, включаючи питання про джерела фінансування, власників і управлінців компанії, а також про її клієнтів і чи є у компанії якісь етичні або законодавчі обмеження на продаж послуг певним урядам.
Зв’яжіться з нами
Якщо у вас є додаткова інформація про Advanced Security Solutions або інші постачальники нульових днів, ви можете безпечно зв’язатися з нами.
Експерт з безпеки, який має досвід у сфері нульових днів, повідомив, що ціни, що пропонуються Advanced Security Solutions, в цілому відповідають поточному ринку.
“Зазвичай ці рекламовані ціни є в межах реалій,” – зазначив він на умовах анонімності для більш відвертого обговорення індустрії нульових днів. Він також додав, що винагорода в $20 мільйонів “може бути нижчою, залежно від того, наскільки аморальним ви є.”
Дослідник також зауважив, що особисто він не співпрацював би з компанією, яка не розкриває, хто стоїть за нею, як у цьому випадку. “Я не вважаю, що потрібно продавати уразливості тим, хто намагається приховати свою особу,” – сказав він.
Ринок нульових днів помітно розширився за останні 10 років, як за кількістю компаній, які беруть участь у ньому, так і за пропонованими цінами.
У 2015 році компанія Zerodium, яка, подібно до Advanced Security Solutions, також здобуває нульові дні від дослідників і перепродує їх урядам, стала однією з перших, хто оприлюднив свій прайс-лист. Тоді компанія під керівництвом ветерана брокерства експлойтів Шаукі Бекрара пропонувала до $1 мільйона за інструменти для зламу iPhone. Три роки потому Crowdfense запропонувала $3 мільйона за ті ж типи нульових днів.
Нещодавно ціни на нульові дні істотно зросли, частково через підвищений попит і також через ускладнення процесу зламу сучасних пристроїв і програмного забезпечення, що стало можливим завдяки поліпшенню безпеки великими технологічними компаніями.
Минулого року Crowdfense опублікувала свій новий прайс-лист, у якому пропонувала до $7 мільйонів за нульові дні для зламу iPhone та $5 мільйонів за аналогічні експлойти для Android. Споживачі також можуть придбати нульові дні для конкретних програм, особливо для месенджерів, таких як WhatsApp (до $8 мільйонів) і Telegram (до $4 мільйонів).
У свою чергу, Advanced Security Solutions пропонує $2 мільйони за нульові дні для Telegram, Signal і WhatsApp.
Російська компанія з нульовими днями Operation Zero була особливою у цьому ринку, пропонуючи до $20 мільйонів за ті ж типи експлойтів, які шукає Advanced Security Solutions. Operation Zero займає унікальну позицію, оскільки стверджує, що працює лише з російським урядом, і для багатьох дослідників у США та Європі незаконно продавати свої інструменти для зламу Росії, що може ускладнити знайдення потрібних їй ресурсів.
Ми завжди прагнемо до розвитку, і ви можете допомогти нам, надавши ваші відгуки про TechCrunch та наші покриття й події! Заповнітьцей опитувальник, щоб дати нам знати, як ми працюємо, і отримати шанс виграти приз!
