За информацию о взломе WhatsApp и iMessage объявлена награда в $1 млн +25


Источник: cnn.com

В мире немало компаний, которые работают в поле информационной безопасности, но как бы в обратном направлении. Такие организации покупают информацию о способах взлома известных и не очень сервисов и приложений, а также покупают эксплоиты.

Одна из таких организаций, Zerodium, объявила награду в $1 млн за работающие инструменты взлома WhatsApp и iMessage. Аналогичную сумму выплатят тому, кто предоставит эксплоиты, позволяющие получить доступ к SMS/MMS приложениям мобильных операционных систем.

И все это — в абсолютно легальном правовом поле. Организация работает в интересах правительственных служб различных стран мира. «Приложения по обмену сообщениями, включая WhatsApp, иногда работают в качестве коммуникационного канала для злоумышленников, а шифрование усложняет получение необходимых данных спецслужбами», — говорит основатель Zerodium Чауки Бекрар. Он считает, что возможность получения удаленного доступа к различным приложениям такого рода помогает спецслужбам работать более эффективно.

Стоит отметить, что компрометация iPhone злоумышленников может обходиться государству в $2 млн или даже больше.

Такая высокая цена является индикатором того, что гаджеты действительно становятся лучше защищенными. Их сложнее взломать даже высококлассным специалистам, причем это касается как iOS, так и Android. Жизнь спецслужб усложняется, поскольку даже если телефон попал в руки полиции или разведуправления, извлечь с него информацию можно далеко не всегда.


До сегодняшнего дня Zerodium была готова платить полмиллиона долларов США за взлом WhatsApp и iMessage. Теперь цена вопроса стала выше, видимо, правительственные спецслужбы готовы платить за «решение вопроса» больше.

$1 млн — не предел. Правительства готовы платить и больше, все зависит от срочности задачи, которую необходимо решить и масштаба работ, которые необходимо выполнить. Естественно, с компаниями — разработчиками мессенджеров, о которых идет речь, никто не будет делиться информацией. Это не тот случай. Уязвимости покупают для того, чтобы использовать самостоятельно, держа втайне информацию о возможности взлома.

Благодаря большому вознаграждению взломом мессенджеров могут заниматься целые команды специалистов, а не одиночки, как это было ранее. Глава стартапа Zerodium говорит, что в «индустрии нулевого дня» сейчас такое количество «товаров», какого не было никогда ранее. «Вы даже не можете представить, что разрабатывается и продается на этом рынке», — говорит Бекрар.

Стоит отметить, что вознаграждение Zerodium значительно выше, чем «призы» баунти-программ многих организаций. Таким образом, разработчики, которые нашли ту либо иную уязвимость, не спешат делиться информацией о своей находке с разработчиками скомпрометированного ПО. В результате возникают курьезные ситуации. Например, корпорация Apple запустила программу выплаты вознаграждений за найденные уязвимости еще в 2016 году. Но до сих пор неясно, получил ли кто вознаграждение. В 2017 году таких людей не было.



Да и кто захочет делиться такими данными, если Zerodium за удаленный джейлбрейк iOS платит $2 млн? Это в 10 раз больше, чем у Apple — в рамках баунти-программы корпорация может выплатить не более $200 тыс., причем выплата может и вовсе не состояться, если специалистам из Купертино что-то не понравится. Всего несколько месяцев назад Zerodium была готова платить на $500 тыс. меньше, чем сейчас — видимо, запросы клиентов стартапа растут. И «дорожают» не только уязвимости для iOS. За эксплоит Chrome RCE + LPE сумма выплат составляет $500 000. Это меньше, чем в случае получения инструментов для взлома iOS, но сумма все равно весьма значительная.

Клиентами стартапа ранее были такие государственные подразделения, как Equation Group (FiveEyes, Tilded Team) и Animal Farm (Snowglobe). В компанию обращаются те специалисты по информационной безопасности, кому хочется получить больше, чем у компаний, чьи продукты были взломаны, а ждать несколько месяцев (рассмотрение информации о взломе в Apple, Facebook, Microsoft и т.п. — долгий процесс) нет желания. В Zerodium деньги выплачивают в течение недели после начала рассмотрения данных о предложенном взломщиком инструменте.




К сожалению, не доступен сервер mySQL