Crowdfense 出价3000万美元收购安卓、iOS和浏览器0day利用
2024-4-9 17:47:7 Author: mp.weixin.qq.com(查看原文) 阅读量:49 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

利用收购企业 Crowdfense 出价总计3000万美元,求购针对安卓、iOS、Chrome 和 Safari 的 0day 利用。

Crowdfense 公司成立于2017年,自称为针对高质量0day利用和高阶漏洞研究的研究中心和收购平台。2019年,该公司公布了针对安卓和 iOS 0day漏洞的利用收购计划,为全链的、此前未报送过的利用支付高达300万美元的价格。今年,该公司提供更高的收购价格。

对零点击利用的赏金

Crowdfense 为能够通过SMS或MMS信息实现零点击的完整链利用出价高至900万美元。

研究人员如果能够提供针对安卓和iOS的零点击完整链利用,则分别可获取最多500万美元和700万美元的赏金。可导致在iOS上远程代码执行和沙箱逃逸的结果,则可获得最高350万美元的赏金。该公司为可导致RCE和本地提权的 Chrome 利用的出价在200万至300万美元之间;为Safari 中的类似漏洞出价250万美元至350万美元。

该公司为针对Chrome 和 Safari 的影响更低的利用出价是数十万美元。

漏洞要求

Crowdfense 公司提到,只有完全起作用的高质量0day利用才会进入评估范围。完整链或此前未报送的独特能力的漏洞报告能够获得的赏金从1万美元到900万美元不等。部分利用链的评估将基于具体案例,获得合理价格。

该公司并未唯一一家在收购安卓和iOS 利用的厂商。去年,俄罗斯 0day 收购公司 Operation Zero 宣布愿意为针对 iOS 和安卓移动平台的完整利用链支付最高2000万美元的赏金,声称这些利用“在市场上的需求很旺盛”。

利用收购计划

利用收购机构本质上是强化版的漏洞奖励计划,主要针对特定的高风险漏洞并提供高昂的金钱回报。

利用收购计划一般涉及研究人员和黑客从软件、操作系统和联网设备中发现此前未知漏洞,获得赏金。这些0day利用之后会被保密和囤积,而不是报送给软件厂商进行修复。Crowdfense 类的公司声称收购这些0day漏洞是为了将它们转卖给其它组织机构,通常是政府机构或政府承包商,以便后者通过这些黑客工具追踪或监控犯罪分子。或许在公众视野之外,这些政府机构和企业可能会花更高的价格购买这些0day利用。例如,在俄罗斯,受俄乌战争和后续制裁的影响,价格可能会提高,从而阻止人们与俄罗斯公司如 Operation Zero进行交易。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

谷歌修复遭取证公司利用的两个 Pixel 0day漏洞

苹果紧急修复已遭利用的两个新 iOS 0day漏洞

Zerodium 称 iOS exploit 过剩,将暂停收购且买价或下跌

Zerodium 启动新一轮 0day 漏洞收购 最高赏金50万美元

原文链接

https://techwithmuchiri.com/crowdfense-30-million-zero-day-exploits/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519250&idx=1&sn=a9eb759176bc25d080dd038567016edc&chksm=ea94bd78dde3346e8571088ffb3e1104df63785be22cebfc4b338fab213de9a5a83aec96d089&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh