ज़ेरोडियम अब मैसेजिंग ऐप शून्य दिनों के लिए $500,000 तक की पेशकश करता है

  • Oct 18, 2023

फेसबुक, आईमैसेज, टेलीग्राम और व्हाट्सएप उन ऐप्स में से हैं जिनके लिए विक्रेता कमजोरियां हासिल करने का इच्छुक है।

स्क्रीन-शॉट-2017-08-24-at-09-37-36.jpg

ज़ेरोडियम एक नए की शुरूआत के साथ वैध शून्य-दिन की खामियां प्रस्तुत करने वाले शोधकर्ताओं के लिए वित्तीय इनाम में वृद्धि की गई है मूल्य निर्धारण का ढांचा.

सुरक्षा

  • अत्यधिक सुरक्षित दूरस्थ श्रमिकों की 8 आदतें
  • अपने फोन से स्पाइवेयर कैसे ढूंढें और हटाएं
  • सर्वोत्तम वीपीएन सेवाएँ: शीर्ष 5 की तुलना कैसे की जाती है?
  • कैसे पता करें कि आप डेटा उल्लंघन में शामिल हैं - और आगे क्या करें

प्रीमियम शोषण विक्रेता विशेष रूप से अज्ञात कमजोरियों पर अपना हाथ जमाने के लिए उत्सुक है जिसका उपयोग लोकप्रिय शोषण के लिए किया जा सकता है पारंपरिक एसएमएस/एमएमएस के साथ-साथ आईमैसेज, टेलीग्राम, व्हाट्सएप, सिग्नल, फेसबुक, वाइबर और वीचैट जैसे मैसेजिंग ऐप संदेश भेजना।

इस उद्देश्य से, ज़ेरोडियम प्रत्येक शून्य-दिन के कार्य के लिए $500,000 तक का वित्तीय जोखिम उठा रहा है।

"ज़ीरोडियम सुरक्षा शोधकर्ताओं को उनके मूल और प्राप्त करने के लिए प्रीमियम इनाम और पुरस्कार का भुगतान करता है प्रमुख ऑपरेटिंग सिस्टम, सॉफ्टवेयर और उपकरणों को प्रभावित करने वाला पहले से रिपोर्ट न किया गया शून्य-दिवसीय शोध," द कंपनी का कहना है. "हालांकि अधिकांश मौजूदा बग बाउंटी प्रोग्राम लगभग किसी भी प्रकार की कमजोरियों और पीओसी को स्वीकार करते हैं लेकिन बहुत कम भुगतान करते हैं पुरस्कार, ज़ेरोडियम में हम पूरी तरह कार्यात्मक कारनामों के साथ उच्च जोखिम वाली कमजोरियों पर ध्यान केंद्रित करते हैं, और हम सबसे अधिक पुरस्कार देते हैं बाज़ार।"

परिवर्तन मुख्य रूप से मोबाइल एप्लिकेशन पर केंद्रित हैं। मैसेजिंग ऐप पुरस्कारों के साथ, शून्य-दिनों के लिए $500,000 की पेशकश भी की जा रही है ईमेल एप्लिकेशन, चाहे वे स्थानीय विशेषाधिकार वृद्धि दोष (एलपीई) हों या रिमोट कोड निष्पादन (आरसीई)।

इसके अलावा, बेसबैंड आवृत्तियों, मीडिया फ़ाइलों और को प्रभावित करने वाले कारनामों के लिए $150,000 की पेशकश की जा रही है। दस्तावेज़, और कंपनी सैंडबॉक्स एस्केप, कोड साइनिंग बायपास और अन्य के बारे में भी सुनना चाहती है मोबाइल कारनामे.

ऐसा लगता है कि Apple की कमजोरियाँ अभी भी उच्च मांग में हैं। लगभग एक साल पहले, शोषण विक्रेता ने Apple iOS 10 RCE के लिए अपना इनाम तीन गुना कर दिया था, और ज़ेरोडियम अभी भी उपयोगकर्ता के संपर्क के बिना रिमोट जेलब्रेक और दृढ़ता के लिए $1.5 मिलियन की पेशकश कर रहा है।

कंपनी iOS जेलब्रेक के लिए $1 मिलियन तक का भुगतान करने को भी तैयार है, जिसके लिए उपयोगकर्ता की सहभागिता की आवश्यकता होती है, जैसे किसी दुर्भावनापूर्ण लिंक या फ़ाइल पर क्लिक करना।

ज़ेरोडियम ने सर्वर और डेस्कटॉप के लिए नई प्रविष्टियों के एक सेट के साथ अपने शोषण अधिग्रहण कार्यक्रम का भी विस्तार किया है। कुल मिलाकर, सिस्टम के आधार पर इस क्षेत्र में शून्य-दिन की खामियों के लिए $300,000 तक की पेशकश की जाती है। विंडोज़ 10 आरसीई सबसे मूल्यवान हैं, लेकिन लिनक्स, माइक्रोसॉफ्ट आउटलुक, मोज़िला थंडरबर्ड और वीएमवेयर ईएसएक्सआई पर अपाचे वेब सर्वर के लिए शून्य-दिन भी मांगे जाते हैं।

इसके अलावा, कंपनी ने Google Chrome RCE के लिए भुगतान $80,000 से $150,000 तक बढ़ा दिया है।

निजी शोषण बिक्री बाजार सबसे अच्छा अस्पष्ट है। एक विक्रेता के रूप में, आप कभी भी निश्चित नहीं हो सकते कि भेद्यता कहाँ समाप्त होगी - या इसका उपयोग कैसे किया जाएगा। यदि शोधकर्ता अपनी कमजोरियों की रिपोर्ट सीधे किसी विक्रेता को देते हैं, तो वे निश्चिंत हो सकते हैं - अंततः, पर कम से कम अधिकांश मामलों में - भेद्यता को ठीक कर दिया जाएगा, साथ ही उनके स्वयं के डिवाइस या सॉफ़्टवेयर की सुरक्षा भी की जाएगी अन्य।

जब कीमत की बात आती है तो टेक विक्रेता काले बाज़ार या निजी शोषण विक्रेताओं के साथ प्रतिस्पर्धा नहीं करते हैं, बल्कि उस विचार का लाभ उठाएं जिससे शोधकर्ता वास्तव में कुछ अच्छा करना चाहते हैं और सिस्टम की रक्षा करना चाहते हैं शोषण करना।

हालाँकि, यदि निजी तौर पर बेचे जाने वाले कारनामे बेचे जाते हैं, तो खोज पर शोधकर्ता का नियंत्रण भी गायब हो जाता है। वित्तीय इनाम कहीं अधिक हो सकता है, लेकिन विचाराधीन शोषण दूसरे के हाथों में जा सकता है निजी कंपनियाँ, कानून प्रवर्तन, या जनता को समर्पित कम-सम्मानजनक सरकारी कार्यक्रम निगरानी।

उदाहरण के तौर पर, जब Apple ने कानून प्रवर्तन में सहायता करने से इनकार कर दिया एक संदिग्ध का iPhone तोड़ना, फिर एफबीआई ने एक निजी कंपनी को उस शोषण के लिए भुगतान किया जो उस विशेष मॉडल पर काम करती थी। इसके बाद कंपनी पर सहयोग के लिए दबाव डालने के प्रयास में एप्पल के खिलाफ लाया गया मुकदमा हटा दिया गया।

थ्रेटपोस्ट से बात करते हुएज़ीरोडियम के संस्थापक चौकी बेकर ने कहा कि कंपनी के सरकारी ग्राहकों को शून्य-दिन के कारनामों की आवश्यकता है जो उन्हें सुरक्षित मैसेजिंग एप्लिकेशन का उपयोग करके अपराधियों की निगरानी करने में सक्षम बनाते हैं।

"ऐसे ऐप्स के लिए शून्य-दिन के कारनामों का उच्च मूल्य ग्राहकों द्वारा उच्च मांग और छोटे हमले की सतह दोनों से आता है ये ऐप्स सुरक्षा शोधकर्ताओं के लिए महत्वपूर्ण बग की खोज और शोषण को बहुत चुनौतीपूर्ण बनाते हैं," बेकरार कहा।

पिछला और संबंधित कवरेज

अब आप iPhone हैक करके 1.5 मिलियन डॉलर कमा सकते हैं

निजी शोषण विक्रेता ज़ेरोडियम ने आईओएस पुरस्कारों की कीमत तीन गुना कर दी है - और एंड्रॉइड भी रडार पर है।

एक्सप्लॉइट ब्रोकर ने Apple का कमाल चुराया, iOS शून्य दिनों के लिए $500,000 की पेशकश की

अब $200,000 एक छोटा परिवर्तन प्रतीत होता है।

यूसीएल विश्वविद्यालय परिसर पर बड़ा 'जीरो-डे' रैंसमवेयर हमला हुआ

ब्रिटेन के शीर्ष विश्वविद्यालयों में से एक में सेवाएँ ऑफ़लाइन या प्रतिबंधित कर दी गई हैं क्योंकि कर्मचारी मैलवेयर के प्रकोप को रोकने की कोशिश कर रहे हैं - और यह एकमात्र शैक्षणिक संस्थान नहीं है जिस पर रैंसमवेयर से हमला किया गया है।

साइबर सुरक्षा प्रत्येक हैकर के बुकशेल्फ़ के लिए पढ़ी जाती है