Zerodium verhoogt de bedragen die het betaalt voor lekken in mobiele applicaties en besturingssystemen. Een lek in Android kan dan met de juiste voorwaarden 2,5 miljoen dollar opleveren. Dat is voor het eerst meer dan een lek in iOS.
Zerodium heeft zowel een aantal bestaande prijzen verhoogd als nieuwe toegevoegd, blijkt uit de nieuwe prijzen in het programma. Opvallend is dat één van de nieuwe toevoegingen meteen de hoogste prijs heeft van alle lekken. Onderzoekers die een kwetsbaarheid vinden die voor alle Android-toestellen tegelijk telt kunnen daarvoor 2,5 miljoen dollar krijgen, omgerekend zo'n 2,29 miljoen euro. Daarbij moet het wel gaan om een lek dat 'aanhoudend' is; de hack moet actief blijven als de telefoon wordt herstart. Ook moet het gaan om een kwetsbaarheid die is uit te voeren zonder tussenkomst van de gebruiker. Bij zo'n zero-click-bug wordt een telefoon al geïnfecteerd als een gebruiker bijvoorbeeld alleen op een bepaalde website komt. Hij hoeft daarvoor niet eerst te klikken of iets zelf te installeren. Een dergelijke aanhoudende zero-click-bug op iOS is bij Zerodium een half miljoen dollar waard.
Naast de nieuwe bounties voor iOS- en Android-bugs heeft Zerodium ook een paar bestaande prijzen verhoogd. Een remote code execution in combinatie met een local privilege escalation voor WhatsApp en iMessage gaat nu voor anderhalf miljoen dollar over de digitale toonbank. Dat was eerder nog een miljoen dollar. Er gaan ook prijzen omlaag. Dat zijn die van een iOS-full-chain en van een remote code execution waarbij een gebruikersinteractie nodig is. Voor kwetsbaarheden waarbij een slachtoffer eerst moet klikken, waarbij de iPhone via een webbrowser doelwit wordt, gaat de prijs omlaag van anderhalf miljoen dollar naar een miljoen dollar. Bij een andere one click-kwetsbaarheid in het geval van iMessage-aanvallen daalt de prijs van een miljoen naar 500.000 dollar.
Het is nu voor het eerst dat een Android-kwetsbaarheid méér waard is dan een in iOS. De maximale prijs daarvoor is nu twee miljoen dollar, ten opzichte van 2,5 miljoen voor een Android-bug. Een paar jaar geleden waren iOS-kwetsbaarheden nog de heilige graal voor beveiligingsonderzoekers. Zerodium zegt tegen Wired dat de markt wordt overspoeld met iOS-exploits. Bovendien wordt de beveiliging van Android steeds beter. Het is daardoor moeilijker een lek te vinden in het besturingssysteem dat in één keer, zonder klik, alle rechten van een gebruiker kan overnemen.
Lekken in software worden de laatste jaren steeds meer waard. Ook fabrikanten zelf bieden steeds hogere beloningen aan onderzoekers die zulke lekken vinden. Apple biedt sinds vorige maand meer geld voor lekken in iOS en gaat Google-onderzoekers betalen voor het vinden van bugs in apps van derden. Zo hopen zij dat die er niet mee naar commerciële bedrijven als Zerodium stappen, die de kwetsbaarheden ook verkopen aan autoritaire overheidsregimes. Die kunnen daarmee software bouwen om minderheden of dissidenten in de gaten te houden. Onlangs bleek bijvoorbeeld dat China lekken in iOS misbruikte om Oeigoeren te hacken.