Rosjanie płacą do 20 mln dolarów. Szukają luk w smartfonach

Rosyjska firma OpZero jest teraz gotowa płacić do 20 mln dolarów za wykrycie luk w zabezpieczeniach iPhone'ów i smartfonów z Androidem. Jak wynika z krótkiego ogłoszenia w serwisie X, podwyżka wypłat dla badaczy jest efektem rosnącego zapotrzebowania na rynku.

O zmianie informuje serwis cybernews. OpZero to broker exploitów, który po ostatnim ogłoszeniu jest skłonny płacić od 200 tys. do 20 milionów dolarów za zgłoszone luki 0-day związane ze zdalnym wykonywaniem kodu, eskalacją uprawnień, obejściem piaskownicy lub za pełny łańcuch - czytamy we wpisie w serwisie X (dawnym Twitterze). "Jak zawsze", końcowym użytkownikiem ma być osoba spoza grupy państw członkowskich NATO.

Z jednej strony wpis jest odzwierciedleniem zmieniającej się sytuacji na rynku i pokazuje, jak wiele dla potencjalnych klientów znaczy informacja o luce 0-day, którą mogliby odpowiednio załatać. Z drugiej - jak sugeruje serwis cybernews - istnieje teoria, według której firma OpZero w praktyce jest finansowana przez Kreml, a co za tym idzie zgłaszane luki bezpieczeństwa w smartfonach mogą być w pierwszej kolejności wykorzystywane na przykład do śledzenia telefonów jako element szeroko rozumianej wojny w cyberprzestrzeni.

W serwisie X pojawiają się już ironiczne wpisy pod ogłoszeniem OpZero sugerujące, że to inwestycja w operacje szpiegowskie w krajach spoza NATO. Luki 0-day i ich wykrywanie to oczywiście codzienność, a nie scenariusz, który wydaje się mało prawdopodobny, wobec czego deklarowane wypłaty do 20 mln dolarów za zgłoszenie są w zasięgu badaczy. Według Google Project Zero od początku 2023 roku wykryto już 45 luk 0-day w oprogramowaniu, czyli więcej niż w całym roku 2022.