Компания Zerodium на этой неделе объявила, что не будет закупать эксплойты для iOS в течение следующих двух-трех месяцев из-за большого количества предложений. Другими словами, у компании накопилось столько уязвимостей безопасности, что больше ей не требуется.
Zerodium — это платформа для приобретения эксплойтов, которая платит исследователям за уязвимости безопасности нулевого дня, а затем продает их институциональным клиентам, таким как государственные организации и правоохранительные органы. Компания фокусируется на уязвимостях высокого риска, обычно предлагая от 100 000 до 2 миллионов долларов за полностью функционирующий эксплойт для iOS.
Мы НЕ будем приобретать новые эксплойты для повышения привилегий (LPE), удаленного выполнения кода (RCE) в Safari или обхода песочницы для Apple iOS в течение следующих 2-3 месяцев из-за большого количества предложений по этим векторам.
Цены на цепочки эксплойтов для iOS «в один клик» (например, через Safari) без персистентности, вероятно, упадут в ближайшем будущем.
— Zerodium (@Zerodium) May 13, 2020
В прямом твите генеральный директор Zerodium Чауки Бекр (Chaouki Bekrar) заявил, что безопасность iOS находится в плохом состоянии, отметив, что существует по крайней мере несколько постоянных уязвимостей безопасности нулевого дня, затрагивающих все iPhone и iPad. «Будем надеяться, что iOS 14 будет лучше», — добавил Бекр.
У Apple есть собственная программа вознаграждений за поиск ошибок, которая предлагает от 5 000 до 1 миллиона долларов за уязвимости безопасности в iOS, iPadOS, macOS, tvOS или watchOS.
