Zerodium-prijs Android-bug is met 2,5 miljoen dollar voor eerst hoger dan iOS

Zerodium verhoogt de bedragen die het betaalt voor lekken in mobiele applicaties en besturingssystemen. Een lek in Android kan dan met de juiste voorwaarden 2,5 miljoen dollar opleveren. Dat is voor het eerst meer dan een lek in iOS.

Zerodium heeft zowel een aantal bestaande prijzen verhoogd als nieuwe toegevoegd, blijkt uit de nieuwe prijzen in het programma. Opvallend is dat één van de nieuwe toevoegingen meteen de hoogste prijs heeft van alle lekken. Onderzoekers die een kwetsbaarheid vinden die voor alle Android-toestellen tegelijk telt kunnen daarvoor 2,5 miljoen dollar krijgen, omgerekend zo'n 2,29 miljoen euro. Daarbij moet het wel gaan om een lek dat 'aanhoudend' is; de hack moet actief blijven als de telefoon wordt herstart. Ook moet het gaan om een kwetsbaarheid die is uit te voeren zonder tussenkomst van de gebruiker. Bij zo'n zero-click-bug wordt een telefoon al geïnfecteerd als een gebruiker bijvoorbeeld alleen op een bepaalde website komt. Hij hoeft daarvoor niet eerst te klikken of iets zelf te installeren. Een dergelijke aanhoudende zero-click-bug op iOS is bij Zerodium een half miljoen dollar waard.

Naast de nieuwe bounties voor iOS- en Android-bugs heeft Zerodium ook een paar bestaande prijzen verhoogd. Een remote code execution in combinatie met een local privilege escalation voor WhatsApp en iMessage gaat nu voor anderhalf miljoen dollar over de digitale toonbank. Dat was eerder nog een miljoen dollar. Er gaan ook prijzen omlaag. Dat zijn die van een iOS-full-chain en van een remote code execution waarbij een gebruikersinteractie nodig is. Voor kwetsbaarheden waarbij een slachtoffer eerst moet klikken, waarbij de iPhone via een webbrowser doelwit wordt, gaat de prijs omlaag van anderhalf miljoen dollar naar een miljoen dollar. Bij een andere one click-kwetsbaarheid in het geval van iMessage-aanvallen daalt de prijs van een miljoen naar 500.000 dollar.

Het is nu voor het eerst dat een Android-kwetsbaarheid méér waard is dan een in iOS. De maximale prijs daarvoor is nu twee miljoen dollar, ten opzichte van 2,5 miljoen voor een Android-bug. Een paar jaar geleden waren iOS-kwetsbaarheden nog de heilige graal voor beveiligingsonderzoekers. Zerodium zegt tegen Wired dat de markt wordt overspoeld met iOS-exploits. Bovendien wordt de beveiliging van Android steeds beter. Het is daardoor moeilijker een lek te vinden in het besturingssysteem dat in één keer, zonder klik, alle rechten van een gebruiker kan overnemen.

Lekken in software worden de laatste jaren steeds meer waard. Ook fabrikanten zelf bieden steeds hogere beloningen aan onderzoekers die zulke lekken vinden. Apple biedt sinds vorige maand meer geld voor lekken in iOS en gaat Google-onderzoekers betalen voor het vinden van bugs in apps van derden. Zo hopen zij dat die er niet mee naar commerciële bedrijven als Zerodium stappen, die de kwetsbaarheden ook verkopen aan autoritaire overheidsregimes. Die kunnen daarmee software bouwen om minderheden of dissidenten in de gaten te houden. Onlangs bleek bijvoorbeeld dat China lekken in iOS misbruikte om Oeigoeren te hacken.

zerodium_prijzen

Door Tijs Hofmans

Nieuwscoördinator

05-09-2019 • 10:39

41

Reacties (41)

41
41
22
5
0
12
Wijzig sortering
Is Zerodium een bonafide bedrijf en "mag dit zomaar"?

Als ik de pincodes van mijn buren weet te achterhalen, of de alarmcodes van alle Albert Heijns in Nederland is dat al discutabel. Als ik mensen ervoor ga betalen om hier achter te komen en deze informatie ga gebruiken om zelf nog meer geld te verdienen, zullen de meeste mensen het met me eens zijn dat dit op zijn minst zeer ongewenst is en waarschijnlijk ook gewoon illegaal en strafbaar.

Hoe zit het dan met dit soort praktijken van Zerodium en co.?
AuteurTijsZonderH Nieuwscoördinator @Jorgen5 september 2019 11:10
Het mag zeker - of het ethisch is is een tweede.

Zerodium verkoopt dergelijke lekken ook met de disclaimer dat als het lek gefixt wordt door de fabrikant, de koper pech heeft. Je bent in de meeste landen niet verplicht door te geven of ergens een lek in zit. Sterker nog, in Nederland mag de politie zulke lekken zelfs kopen om er hacksoftware van te maken.
Ja, waarom zou dit niet mogen? Het exclusief opkopen van lekken in software is niet illegaal. Er gebruik van maken kan dat wel zijn.
Nee, niet zomaar:

https://ictrecht.nl/2016/...oits-verkopen-en-aan-wie/

Als je niet weet wat Zerodium er mee gaat doen is dat dus niet zomaar legaal, en omdat zerodium niet vertelt wie hun klanten zijn is het lastig dit in te schatten.

"ZERODIUM customers are mainly government organizations in need of specific and tailored cybersecurity capabilities and/or protective solutions to defend against zero-day attacks. " lijkt te doelen op aanvalspraktijken in mijn ogen, en dus weaponization van de exploits.

Ook mogen zerodays alleen uit de EU worden geëxporteerd of doorgevoerd met een geldige vergunning van de douane (in Nederland de Centrale Dienst In- en Uitvoer, CDIU).
Anoniem: 1092407 @killercow5 september 2019 13:15
Ook als die zeroday alleen in m'n hoofd zit en ik 'm over de grens opnieuw uitwerk? :p Rare regel die natuurlijk ook niet te controleren valt. Oftewel nutteloze wetgeving.

Ik ben geen hacker of programmeur. Als ik een waardevol lek zou vinden dan zou ik zeker eerst naar de eigenaar van de code stappen. Maar als die een serieus lek vervolgens niet serieus neemt dan zou ik toch echt wel elders kijken wat ik ervoor kan krijgen. De auteur heeft immers z'n kans gehad.
Jouw productie is dan wel elders, maar jij bent een Europees burger, en dus wordt het gewoon als Export gezien. Je neemt het geld vast ook weer mee terug het land in.

Een beetje ethisch besef zou je overigens beletten zero-days te verkopen aan anderen, je weet namelijk dan iedereen behalve de auteur er andere bedoeling mee heeft dan het probleem oplossen.
Zonder dat ethisch besef, je werkt immers continue met (toegang tot) data van anderen heb je het als programmeur sowieso al best lastig denk ik om niet gewoon full-on crimineel te worden.
Anoniem: 1092407 @killercow5 september 2019 19:34
Jouw productie is dan wel elders, maar jij bent een Europees burger, en dus wordt het gewoon als Export gezien.
Dat betwijfel ik. Heb je daar een bron van?
Een beetje ethisch besef zou je overigens beletten zero-days te verkopen aan anderen, je weet namelijk dan iedereen behalve de auteur er andere bedoeling mee heeft dan het probleem oplossen.
Dit is ook wel een beetje een geval van als ik het niet doe dan gaat op een dag een ander er wel mee leuren. En ook met ethisch besef kun je nog steeds die keuze maken. Dat heet tegenstrijdige belangen. Het ligt er maar aan hoeveel geld ermee gemoeid is. Zou jij een principe in stand kunnen houden ten koste van een miljoen euro of 2? Ik denk dat veel mensen zichzelf eerlijker inschatten dan ze zijn. Ik ben heel eerlijk maar hier gaat het om levensveranderend veel geld. En de gevolgen kunnen net zo goed heel klein zijn. Dat weet je niet.
je werkt immers continue met (toegang tot) data van anderen heb je het als programmeur sowieso al best lastig denk ik om niet gewoon full-on crimineel te worden.
Die data is bij mij in goede handen hoor als ICT'er. Geen haar op m'n hoofd dat ik daar wat mee zou doen. Er is een verschil tussen het vertrouwen krijgen van een partij en het verdienen van geld aan een of ander lek waarbij je aan niemand ook maar iets hebt beloofd. Dat is vooral psychologisch een heel groot verschil, in ieder geval voor mij. Beetje vergelijkbaar met het vinden van een koffer vol geld: als ik de eigenaar zou kennen dan ging die koffer netjes terug. Zoniet dan is het geld voor mij. Een scenario dat uiteraard nooit gaat gebeuren. :P Maar een portemonnee, hoeveel er ook in zit, daar zou ik nooit iets uithalen. Ik heb letterljk nog nooit een cent gepikt in mijn leven. Dat voelt gewoon niet goed. Een lek verkopen aan een of andere partij als bijv Google of Microsoft er niets om geeft? Daar zou ik toch heus wat minder moeite mee hebben.
Ja, waarom zou dit niet mogen?
Omdat het op misbruikt kan worden natuurlijk, en op grote schaal en net grote gevolgen. Ethisch bekeken is op zijn zachtst gezegd bijzonder te noemen dat dit legaal is.

Als je ziet wat voor vrij lullige grensgeval-zaken de wetgever allemaal verbiedt, zou je verwachten dat zoiets als dit, wat wel degelijk sociale onrust en fikse persoonlijke problemen kan geven, al helemaal niet mag.
Ja maar ik denk dat het internet ,althans ik zie dit als internetgerelateerd, nog een gevalletje" telegraph road " is .Zoals in het wilde westen rond 1810. Waarbij bounty hunting aan de orde van de dag was. Ten behoeve van het creëren van een rechtsstaat.

Dus als een ICT jaar een kwartaal bedraagt dan zijn we nog 50 kalenderjaren verwijderd van ordentelijke wet en regelgeving die online illegale impulsen gaan reguleren om in ieder geval veiligheid te kunnen garanderen. Immers de laatste week zijn we bestookt met onveilige situaties die ons digitale leven kunnen gaan beheersen.
de pincodes van mijn buren weet te achterhalen, of de alarmcodes van alle Albert Heijns in Nederland
Dat zijn specifieke sleutels, we hebben het hier over niet specifieke sleutels en meer een route kaart die je verteld hoe je moet gaan met niet een specifiek doel. In Nederland kan dit ook illegaal zijn, de vraag is echter hoe dat met de rest van de wereld zit. Zerodium zit echter in de VS en kan het daar wel legaal zijn. Vanuit Nederland zou dit mogelijk wel legaal zijn, gezien de oprichter dezelfde is achter Vupen Security, welke aan politie en inlichtingendiensten leverde. Deze werden gebruikt voor zowel defensieve als offensieve acties, je zou dus niet snel spreken van ‘technisch hulpmiddel dat hoofdzakelijk geschikt is gemaakt of ontworpen om computervredebreuk te plegen of om communicatie wederrechtelijk af te tappen’. Maar wellicht zie ik dat verkeerd...
Lekker verdienmodel wel.
Hacks kopen om door te verkopen aan (autoritaire) overheden en andere schimmige instanties.
Tsja, als apple/google zijn rewards niet hoger maakt, kan het mij niet bommen wat ze er mee doen.
Hoogste bieder mag hem van mij hebben. Wat ze erna mee doen is hun ding.

Wel leuk uitleggen aan de fiscus als je ineens 2 miljoen op je rekening gedropt krijgt zonder factuurtje :D
"Wat ze erna mee doen is hun ding" is een zeer simplistische opvatting die in het strafrecht niet zal standhouden. Analoog aan het leveren van wapens, waar vervolgens een misdaad mee gepleegd
wordt, kan ik me voorstellen dat het leveren van een zero-day exploit waar vervolgens een cybercrime
misdaad mee gepleegd wordt, de aandacht van justitie trekt.

En vwb de fiscus, als je het gewoon opgeeft, is er voor wat hun betreft niets aan de hand.

Box 1 : fooien en andere inkomsten :P

[Reactie gewijzigd door Ome Ernst op 23 juli 2024 02:22]

Mja, je kan ook je wagen verkopen aan iemand.

Als ze beslissen om daar zelf iemand kreupel mee te rijden of een aanslag/overval te plegen, dat kan ik daar weinig mee doen. (Als ze zeggen dat ze het gaan doen, ja dan natuurlijk naar politie)

Als ik die "exploit" verkoop, moet je waarschijnlijk contractje tekenen dat je afstand doet van alle rechten...ik maak het "wapen", en het bedrijf verkoopt ze.
Als ze het zelf aan "autoritaire" overheden enzo verkopen tsja. Kans is groot dat USA ze gewoon koopt.

Er mogen wel wapens gemaakt worden, en die worden ook verkocht aan autoritaire regimes. Geen haai die er naar kraait, alles is legaal en wordt aangegeven aan de belastingen...
Een wagen is primair een vervoersmiddel. Dat er vervolgens strafbare feiten mee gepleegd worden, is
iets heel anders dan een wapen of een zero-day exploit waar primair alleen maar strafbare feiten mee
gepleegd kunnen worden.
Wapens worden ook legaal gemaakt in grote schaal. Bij gebruik door politie / leger worden er ook geen strafbare feiten mee gepleegd. Zeker niet in tijden van oorlogsvoering.

Dat er iemand een school mee neerknalt of dergelijks zijn ook niet de intentie van de wapenmakers kan ik me best voorstellen
Ik hou wel van een beetje discussie maar sorry, een vergelijking trekken tussen software-problemen en auto-problemen slaat echt nergens op.
Zou ik toch even langs de notaris gaan en een bvtje oprichten, scheelt toch al snel zon 30% IB...
Ik neem toch aan dat je een contract en bijbehorend factuur gewoon kunt tonen.
Je krijgt natuurlijk gewoon een factuur en uitleg van Zerodium.

Je andere 2 zinnen zijn overigens echt *intens* kortzichting.
Lekker verdienmodel wel.
Hacks kopen om door te verkopen aan (autoritaire) overheden en andere schimmige instanties.
Is een ethische kwestie.

En dit soort bedrijven bestaan al heel lang waar ook westerse bedrijven maar al te gretig gebruik van maken. Maar al te snel wordt het beeld geschetst dat het om onderdrukkende regimes gaat.


Blackwater is een bekende niet-overheids-gereguleerde instantie die buiten de VS talloze mensen hebben gedood,
https://en.wikipedia.org/wiki/Academi
Dat is dan ook een behoorlijk schimmige instantie.
Idd, gezonde Rolodex = wat je daar aan over houdt. Als je niet wordt omgelegd, krijg je toegang tot de meest fantastische plaatsen hier op aarde (dictators hebben nogal wat te spenderen, vaak)
Zerodium zegt tegen Wired dat de markt wordt overspoeld met iOS-exploits. Bovendien wordt de beveiliging van Android steeds beter. Het is daardoor moeilijker een lek te vinden in het besturingssysteem dat in één keer, zonder klik, alle rechten van een gebruiker kan overnemen.
Maar dat zal wel niet zijn omdat Android perse veiliger is denk ik. Het zal voor een deel ook te maken met de veel grotere install base denk ik.
Klopt.

Het gaat hier ook specifiek om een aanval die in de base android uitvoerbaar is, en dus elk device dat android draait kwetsbaar voor is. De meeste aanvallen targetten een bepaalt merk, omdat daar de fouten meestal in een custom implementatie zitten, of in de drivers van een specifiek stuk hardware.

De requirements voor de exploit zelf zijn ook niet mis: Hij moet persistent zijn bij restart en geen gebruikersinteractie nodig hebben.

[Reactie gewijzigd door graverobber2 op 23 juli 2024 02:22]

Het gaat om vraag en aanbod. Er staat nu een stap voor stap handleiding voor het vinden van lekken in iOS op het internet en er is lange tijd juist meer betaald, dus nu heb je ineens een berg nieuwe exploits die waarschijnlijk op ongeveer de zelfde manier gevonden zijn want is het natuurlijk niet zo dat iOS ineens een stuk minder veilig is geworden, ik verwacht juist in tegendeel.

Ik ben best bereid te geloven dat iemand die een 100% up-to-date Android telefoon heeft op dit moment minder kwetsbaar is dan iemand die een 100% up-to-date iPhone heeft. Wat voor mij de zwakte van Android is is dat op het moment dat er een patch uit komt er ook duidelijk is waar er iets gepatcht is en waarom en op dat moment zijn alle niet 100% up-to-date telefoons fair game.

Op iOS moet je haast wel een 0-day hebben om überhaupt binnen te komen.
Dat Android/Google haar beveiliging steeds beter op orde heeft, verbaast me niet. Echter denk ik niet dat dat de enige reden is waarom een FCP Zero click zoveel waard is op Android. In tegenstelling tot IOS heeft Android duizenden verschillende configuraties die het moet ondersteunen. Om daarvoor een exploit te ontwikkelen die op al die configuraties werkt, is veel moeilijker dan IOS, waar maar een 10 a 20 verschillende hardwareconfiguraties heeft.

ij hoeft daarvoor niet eerst te klikken of iets zelf te installeren. Een dergelijke aanhoudende zero-click-bug op iOS is bij Zerodium een half miljoen dollar waard.
Een half miljoen dollar minder, volgens de afbeelding.
En wat denk je van vraag en aanbod?

In China stelt Apple vrij weinig voor, terwijl China wel een grote klant is voor dit soort exploits. Dus een exploit in Android is dan misschien wel 8x zo effectief en daarmee veel meer geld waard.
Alleen in de VS heeft Apple een marktaandeel dat echt hoog ligt, naast het VK. Daarbuiten ligt het marktaandeel echt een stuk lager.
Voor regimes die juist de buitenlanders in de gaten willen houden kan het echter wel interessant zijn om de pijlen op iOS te richten. Maar dan nog blijft het marktaandeel 50/50. Dus eigenlijk zijn de iOS bugs dus nog steeds overgewaardeerd :+
Blijkbaar heeft iOS de beveiliging van touchID totaal niet op orde: https://zerodium.com/program.html

De prijs van maximaal 100.000 dollar (in het geval je oplossing altijd werkt, op alle IOS devices, geen andere exploits nodig ernaast, etc. etc.) staat in geen enkele verhouding tot wat je daar niet mee kan aanrichten wereldwijd. Je decrypt er namelijk wel een complete iPhone mee inclusief email, Whatsapp, noem maar op.

Dat kan maar 1 ding betekenen: o.a. Zerodium heeft al een aantal sterke touchID exploits voor iOS in bezit en hecht er dus nu weinig waarde aan.

Dat is wat mij de prijzenlijst dan weer vooral leert.
Ik kan biometry op Android helemaal nergens vinden in de lijst.
Komt denk ik ook wel omdat biometry ook wel ROM of zelfs device dependent is, waarbij in iOS het altijd het zelfde geregeld is
Komt denk ik vooral omdat de politie gewoon je vinger op de telefoon kan drukken als ze willen waardoor politie en inlichtingdiensten weinig interesse voor zulke exploits zullen hebben.
1) Daar heb je al fysieke toegang tot het apparaat voor nodig, daar hebben ze over t algemeen andere tooltjes voor dan de vingerafdruk
2) Veel overheden mogen je vinger op de sensor leggen of bijvoorbeeld je telefoon voor je gezicht houden om te scannen, dat is een stuk sneller dan het kreng hacken
3) Een TouchID hack is niets waard als de telefoon deep locked is, wat na x uur geen activiteit gebeurd, at random, na een paar foute scans, na reboot, als de user pwr + vol up heeft ingedrukt of de user op een gelockt toestel aan siri vraagt van wie het toestel is. Over ‘t algemeen wil men dus exploits waar TouchID helemaal geen partij is, die zijn veel belangrijker.

Nee natuurlijk wordt er dan niet veel voor betaald en waarschijnlijk zijn er maar weinig die er ook echt de moeite voor willen doen. Dat terzijde... TouchID is nooit gemarket als foolproof, dat is haast onmogelijk met dit type biometrische verificatie.

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 02:22]

Dat in combinatie met grotere userbase.
kan iemand ff zo'n bug voor me vinden? kan wel wat geld gebruiken na de aanschaf van mijn computer :P
die ff doet het hem, ik stuur hem zo
* All payouts are subject to change or cancellation without notice Tevens staat er plots UP TO 2.5 Million. Ziet er niet al te betrouwbaar uit met zulke verborgen voorwaarden. Wanneer je een flinke bug binnenhaalt zullen ze alle kleine lettertjes wel tevoorschijn halen met redenen waarom ze je slechts 1/4 hoeven te betalen.
1/4 van 2,5mln is nog steeds 625K
Ook niet mis; ik heb ooit eens berekend dat een half miljoen voldoende is om op pensioen te gaan op je 40e. Mits spaarzaam leven en herinvesteren enzo.
Lekker bedrijf dan.

Het beste is om die bug aan ze te verkopen en hem daarna z.s.m. melden bij de developer.

Op dit item kan niet meer gereageerd worden.