Zła wiadomość dla użytkowników WhatsAppa i nie tylko. Rosną stawki za zero-day exploity
Dobra wiadomość dla wszystkich łowców nagród i crackerów, zła – dla użytkowników smartfonów, zwłaszcza tych lubujących się we wszelkiej maści komunikatorach, takich jak WhatsApp. Kontrowersyjny francuski startup Zerodium, który zajmuje się pośrednictwem w handlu tzw. zero-day exploitami, sprzedając informacje o niezałatanych lukach w oprogramowaniu agencjom rządowym i rozmaitym służbom bezpieczeństwa, podnosi stawki skupu informacji.
Zerodium podlega pod firmę-matkę Vupen, dokładnie tę samą, której udowodniono prowadzenie interesów z NSA czy BSI. Tak więc nie da się ukryć, że celem nie jest tutaj łatanie luk w oprogramowaniu. Wprost przeciwnie – chodzi o to, aby znaleźć ich jak najwięcej i otworzyć furtkę szpiegom. Przypomnę, zero-day exploit to taki rodzaj exploitu, który pojawia się na czarnym rynku, zanim zostanie wyeliminowany przez twórców oprogramowania. (Innymi słowy: często jest to luka, z której istnienia deweloper w ogóle nie zdaje sobie sprawy).
Co zrozumiałe, podwyżka cen skupu zapewne zadziała niczym lep na speców od łamania zabezpieczeń, a to nie wróży niczego dobrego dla zwykłych konsumentów.
2 mln dol. za zdalny jailbreak iPhone'a
Najwięcej zarobi cracker, któremu uda się zdalnie przeprowadzić jailbreak iPhone'a, bez jakiejkolwiek interakcji ze strony użytkownika. Za tego rodzaju opracowanie Zerodium zapłaci aż 2 mln dol., podczas gdy wcześniej było to 1,5 mln. Natomiast właśnie na 1,5 mln wyceniono zdalny jailbreak z minimalną interakcją, np. pojedynczym kliknięciem, co stanowi podwyżkę z kwoty 1 mln.
Po 1 mln dol. za zero-day exploity w WhatsAppie i iMessage, a także domyślnej aplikacji do SMS/MMS
Idąc dalej, na nieszczęście fanów wszelkich komunikatorów, znacząco rosną także ceny skupu exploitów umożliwiających zdalne wykonanie kodu (RCE – ang. remote code execution) poprzez WhatsAppa, iMessage oraz domyślne aplikacje do SMS/MMS. Teraz są one warte po 1 mln dol. za sztukę, zamiast 500 tys. Co ciekawe, stawek nie zwiększono jedynie w przypadku aplikacji Signal, używanej w środowisku naukowym, ale to prawdopodobnie z uwagi na jej otwarty kod.
Ponadto, wśród podwyżek warto wyszczególnić jeszcze m.in.:
- 1 mln dol. za niewymagający interakcji RCE w Windowsie (poprzednio 500 tys.),
- 500 tys. za zdalne wykonanie kodu w przeglądarce Chrome (poprzednio 250 tys.),
- 500 tys. za ataki polegające na eskalacji uprawnień w Safari (poprzednio 200 tys.),
- 200 tys. za lokalną eskalację uprawnień w systemie Android lub iOS (poprzednio 100 tys.),
- 100 tys. za metodę obejścia biometrii w smartfonach (poprzednio 15 tys.).
Przy czym Zerodium zapowiada, że wyjątkowo innowacyjne ataki będą nagradzane ekstra, a ostateczna wycena i tak uzależniona jest od szeregu czynników towarzyszących, jak poziom skomplikowania ataku, wersje oprogramowania dotknięte wykrytą luką czy perspektywa pojawienia się mitygacji zagrożeń. Tak czy inaczej, najzdolniejsi crackerzy mają o co powalczyć.
Mając na uwadze profil Zerodium, raczej nikt powodzenia życzyć im nie będzie. Niestety nie dowiemy się też niczego o ewentualnych postępach. No, ale ponoć im człowiek mniej wie, tym lepiej sypia.
