Crowdfense 出价3000万美元收购安卓、iOS和浏览器0day利用

admin 2024年4月10日09:56:57评论9 views字数 1047阅读3分29秒阅读模式

Crowdfense 出价3000万美元收购安卓、iOS和浏览器0day利用聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

利用收购企业 Crowdfense 出价总计3000万美元,求购针对安卓、iOS、Chrome 和 Safari 的 0day 利用。

Crowdfense 公司成立于2017年,自称为针对高质量0day利用和高阶漏洞研究的研究中心和收购平台。2019年,该公司公布了针对安卓和 iOS 0day漏洞的利用收购计划,为全链的、此前未报送过的利用支付高达300万美元的价格。今年,该公司提供更高的收购价格。

对零点击利用的赏金

Crowdfense 为能够通过SMS或MMS信息实现零点击的完整链利用出价高至900万美元。

研究人员如果能够提供针对安卓和iOS的零点击完整链利用,则分别可获取最多500万美元和700万美元的赏金。可导致在iOS上远程代码执行和沙箱逃逸的结果,则可获得最高350万美元的赏金。该公司为可导致RCE和本地提权的 Chrome 利用的出价在200万至300万美元之间;为Safari 中的类似漏洞出价250万美元至350万美元。

该公司为针对Chrome 和 Safari 的影响更低的利用出价是数十万美元。

漏洞要求

Crowdfense 公司提到,只有完全起作用的高质量0day利用才会进入评估范围。完整链或此前未报送的独特能力的漏洞报告能够获得的赏金从1万美元到900万美元不等。部分利用链的评估将基于具体案例,获得合理价格。

该公司并未唯一一家在收购安卓和iOS 利用的厂商。去年,俄罗斯 0day 收购公司 Operation Zero 宣布愿意为针对 iOS 和安卓移动平台的完整利用链支付最高2000万美元的赏金,声称这些利用“在市场上的需求很旺盛”。

利用收购计划

利用收购机构本质上是强化版的漏洞奖励计划,主要针对特定的高风险漏洞并提供高昂的金钱回报。

利用收购计划一般涉及研究人员和黑客从软件、操作系统和联网设备中发现此前未知漏洞,获得赏金。这些0day利用之后会被保密和囤积,而不是报送给软件厂商进行修复。Crowdfense 类的公司声称收购这些0day漏洞是为了将它们转卖给其它组织机构,通常是政府机构或政府承包商,以便后者通过这些黑客工具追踪或监控犯罪分子。或许在公众视野之外,这些政府机构和企业可能会花更高的价格购买这些0day利用。例如,在俄罗斯,受俄乌战争和后续制裁的影响,价格可能会提高,从而阻止人们与俄罗斯公司如 Operation Zero进行交易。

原文始发于微信公众号(代码卫士):Crowdfense 出价3000万美元收购安卓、iOS和浏览器0day利用

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月10日09:56:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Crowdfense 出价3000万美元收购安卓、iOS和浏览器0day利用https://cn-sec.com/archives/2642472.html

发表评论

匿名网友 填写信息