Источник: cnn.com

В мире немало компаний, которые работают в поле информационной безопасности, но как бы в обратном направлении. Такие организации покупают информацию о способах взлома известных и не очень сервисов и приложений, а также покупают эксплоиты.

Одна из таких организаций, Zerodium, объявила награду в $1 млн за работающие инструменты взлома WhatsApp и iMessage. Аналогичную сумму выплатят тому, кто предоставит эксплоиты, позволяющие получить доступ к SMS/MMS приложениям мобильных операционных систем.

И все это — в абсолютно легальном правовом поле. Организация работает в интересах правительственных служб различных стран мира. «Приложения по обмену сообщениями, включая WhatsApp, иногда работают в качестве коммуникационного канала для злоумышленников, а шифрование усложняет получение необходимых данных спецслужбами», — говорит основатель Zerodium Чауки Бекрар. Он считает, что возможность получения удаленного доступа к различным приложениям такого рода помогает спецслужбам работать более эффективно.

Стоит отметить, что компрометация iPhone злоумышленников может обходиться государству в $2 млн или даже больше.

Такая высокая цена является индикатором того, что гаджеты действительно становятся лучше защищенными. Их сложнее взломать даже высококлассным специалистам, причем это касается как iOS, так и Android. Жизнь спецслужб усложняется, поскольку даже если телефон попал в руки полиции или разведуправления, извлечь с него информацию можно далеко не всегда.


До сегодняшнего дня Zerodium была готова платить полмиллиона долларов США за взлом WhatsApp и iMessage. Теперь цена вопроса стала выше, видимо, правительственные спецслужбы готовы платить за «решение вопроса» больше.

$1 млн — не предел. Правительства готовы платить и больше, все зависит от срочности задачи, которую необходимо решить и масштаба работ, которые необходимо выполнить. Естественно, с компаниями — разработчиками мессенджеров, о которых идет речь, никто не будет делиться информацией. Это не тот случай. Уязвимости покупают для того, чтобы использовать самостоятельно, держа втайне информацию о возможности взлома.

Благодаря большому вознаграждению взломом мессенджеров могут заниматься целые команды специалистов, а не одиночки, как это было ранее. Глава стартапа Zerodium говорит, что в «индустрии нулевого дня» сейчас такое количество «товаров», какого не было никогда ранее. «Вы даже не можете представить, что разрабатывается и продается на этом рынке», — говорит Бекрар.

Стоит отметить, что вознаграждение Zerodium значительно выше, чем «призы» баунти-программ многих организаций. Таким образом, разработчики, которые нашли ту либо иную уязвимость, не спешат делиться информацией о своей находке с разработчиками скомпрометированного ПО. В результате возникают курьезные ситуации. Например, корпорация Apple запустила программу выплаты вознаграждений за найденные уязвимости еще в 2016 году. Но до сих пор неясно, получил ли кто вознаграждение. В 2017 году таких людей не было.



Да и кто захочет делиться такими данными, если Zerodium за удаленный джейлбрейк iOS платит $2 млн? Это в 10 раз больше, чем у Apple — в рамках баунти-программы корпорация может выплатить не более $200 тыс., причем выплата может и вовсе не состояться, если специалистам из Купертино что-то не понравится. Всего несколько месяцев назад Zerodium была готова платить на $500 тыс. меньше, чем сейчас — видимо, запросы клиентов стартапа растут. И «дорожают» не только уязвимости для iOS. За эксплоит Chrome RCE + LPE сумма выплат составляет $500 000. Это меньше, чем в случае получения инструментов для взлома iOS, но сумма все равно весьма значительная.

Клиентами стартапа ранее были такие государственные подразделения, как Equation Group (FiveEyes, Tilded Team) и Animal Farm (Snowglobe). В компанию обращаются те специалисты по информационной безопасности, кому хочется получить больше, чем у компаний, чьи продукты были взломаны, а ждать несколько месяцев (рассмотрение информации о взломе в Apple, Facebook, Microsoft и т.п. — долгий процесс) нет желания. В Zerodium деньги выплачивают в течение недели после начала рассмотрения данных о предложенном взломщиком инструменте.

Комментарии (13)


  1. Victor_koly
    08.01.2019 12:21

    Аналогичную сумму выплатят тому, кто предоставит эксплоиты, позволяющие получить доступ к SMS/MMS приложениям мобильных операционных систем.


    А есть под Андроид штатные проги для закачки SMS и телефонной книги со смартфона на комп? При чем как сохраненных на SIM-карту, так и на внутреннюю память.


    1. GennPen
      08.01.2019 12:42

      Практически в каждом Андроиде (если специально не вырезана эта функция) есть экспорт контактов в csv-файл. А SMS только отдельным приложением.


    1. Dvlbug
      08.01.2019 20:11

      Не штатная, но MyPhoneExplorer. Позволяет даже отсылать смс через комп (не помню правда с root или без).


      1. nsmcan
        08.01.2019 23:39

        Root не нужен. Работает при включённом Developer Mode и USB Debug


  1. ilyaska
    08.01.2019 15:14

    На андроиды, видимо, сами смогли эксплоиты найти.


    1. tvr
      08.01.2019 15:53

      На андроиды, видимо, сами смогли эксплоиты найти.


      Я даже догадываюсь где нашли (или сами разместили?).
      В play.google, нечто вроде GetContact, хотя эту дрянь и в AppStore размещали, справедливости ради.


  1. sena
    08.01.2019 19:05
    +1

    Такая высокая цена является индикатором того, что гаджеты действительно становятся лучше защищенными.

    Ну… нет. Необязательно. Могут быть и другие объяснения. Например, на дырах стало возможным заработать больше и меньше чем за миллион уже никто не хочет связываться со спецслужбами (от которых потом не отмажешься).


    1. vsb
      09.01.2019 00:15

      Я думаю, те, кто может находить такие дыры, найдут способ получить деньги без засвета. Биткоин при правильном использовании даёт достаточную анонимность на практике.


  1. andorro
    09.01.2019 08:22

    За миллион долларов целесообразнее взламывать пользователей, а не приложение — самые слабые места end-to-end encryption находятся по разным его концам: глючные, забагованные, с обновлениями, выходящими раз в несколько тысяч лет.


  1. jevius
    09.01.2019 08:33

    «Вы даже не можете представить, что разрабатывается и продается на этом рынке», — говорит Бекрар.

    Видимо, ничего стоящего, раз там исполнителя не нашли. Там где действительно ведется работа, таких заявлений не делают.


  1. Tyusha
    09.01.2019 08:56

    Какие прекрасные люди!


  1. ehots
    09.01.2019 10:22

    А как же: «Предоставьте ключи расшифровки или мы Вас забаним и потратим на это 90000000
    бюджетных даларов!».


  1. n0wheremany
    09.01.2019 10:41

    Интересно как подтвердить, что это именно спецслужбы… И конкретной страны.
    Известная страна например может «разместить» заказ на подтасовку подсчета голосов выборов в известной стране. И все это публично на сколько я понимаю. Вряд ли там будет написано кто инициатор этого дела. x)