压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

一家收購并出售零日漏洞的公司出價2000萬美元（約合人民幣1.46億元），向安全研究人員購買黑客工具，幫助該公司的客戶入侵iPhone和安卓設(shè)備。

這家名為Operation Zero的公司總部位于俄羅斯，于2021年成立。

9月底，Operation Zero在Telegram和X（即推特）官方帳戶上宣布，他們將發(fā)現(xiàn)主流移動平臺零日漏洞的報酬從20萬美元提高到2000萬美元。

該公司稱：“我們提高賞金，并為合同工作提供有競爭力的計劃和獎金，意在鼓勵開發(fā)團隊與我們的平臺合作。和以前一樣，我們的最終用戶是非北約國家。公司在其官方網(wǎng)站上表示：“我們的客戶僅為俄羅斯的私人和政府組織。”

當(dāng)被問及他們?yōu)槭裁粗幌蚍潜奔s國家售賣產(chǎn)品，Operation Zero首席執(zhí)行官Sergey Zelenyuk拒絕透露原因。他說：“除了顯而易見的原因外，沒有其他原因。”

Zelenyuk還表示，Operation Zero目前提供的賞金金額可能是暫時的，反映了這段時間特殊的市場行情，以及入侵iOS和安卓系統(tǒng)的難度。

Zelenyuk在一封電子郵件中寫道：“特定項目的定價在很大程度上取決于在零日市場上獲取產(chǎn)品的難易程度。目前，移動智能手機的全鏈條漏洞是最昂貴的產(chǎn)品，主要由政府行為者使用。有時，需要某種產(chǎn)品的行為者愿意出高價，趕在他方之前獲得產(chǎn)品。

零日漏洞市場中介層出不窮

至少近十年以來，世界各地的各種公司一直向安全研究人員提供賞金，鼓勵出售漏洞和利用這些漏洞的黑客技術(shù)。與HackerOne或Bugcrowd等傳統(tǒng)漏洞賞金平臺不同，Operation Zero這樣的公司不會向產(chǎn)品易受攻擊的供應(yīng)商發(fā)通知，而是將這些漏洞出售給政府客戶。

這本質(zhì)上是一個灰色市場，價格波動大，客戶身份通常保密。但是，也有公司像Operation Zero這樣公開發(fā)布價格表。

比如，Zerodium成立于2015年，提供250萬美元的賞金，鼓勵尋找讓客戶無需與目標(biāo)互動即可入侵安卓設(shè)備的漏洞鏈。打個比方，目標(biāo)不必點擊釣魚鏈接就會被黑。Zerodium官網(wǎng)表示，對于上述類型的漏洞鏈，他們會提供最高200萬美元的賞金。

由于現(xiàn)代移動設(shè)備的安全緩解措施和防御不斷增強，黑客可能需要一系列零日漏洞才能完全入侵并控制目標(biāo)設(shè)備。

總部位于阿聯(lián)酋的Crowdfense是Zerodium的競爭對手。他們?yōu)榘沧亢蚷OS系統(tǒng)相同類型的漏洞鏈開出最高300萬美元的賞金。

Zelenyuk表示，他認(rèn)為Zerodium和Crowdfense提供的賞金不至于降低到如此低的水平。Zelenyuk說：“Zerodium的價格表已經(jīng)過時。他們不可能還用這么低的價格購買漏洞。他們只是懶得更新價格表。更不更新都不影響零日業(yè)務(wù)的正常運行。”

零日市場基本上不受監(jiān)管。但在某些國家，公司可能需要從所在國政府獲得出口許可證。本質(zhì)上，這個過程是請求批準(zhǔn)向某些可能受限制的國家出售產(chǎn)品。如此一來，零日市場已被割裂，受政治影響越來越大。

參考資料：https://techcrunch.com/2023/09/27/russian-zero-day-seller-offers-20m-for-hacking-android-and-iphones/

來源：安全內(nèi)參