Брокер эксплойтов нулевого дня, компания OpZero, поразила рынок своими предложениями. Несмотря на то, что компания довольно нова в сфере продаж эксплойтов, она теперь увеличивает выплаты исследователям с 200 000 до 20 миллионов долларов за инструменты взлома iPhone и Android.
Российская компания отметила , что текущие вознаграждения могут быть временными и отражают конкретный момент на рынке и сложность взлома iOS и Android. Представители компании заявили, что клиентами фирмы, ведущей деятельность с 2021 года, “как всегда, является страна, не входящая в НАТО”.
В предложение входят эксплойты iOS, включая RCE, локальное повышение привилегий (Local Privilege Elevation, LPE), обход песочницы (Sandbox Escape or bypass, SBX) или полная цепочка эксплойтов. Такая же сумма предлагается за эксплойты в операционной системе Android.
В прошлом году OpZero уже вызвала широкий резонанс, предложив за эксплойт удаленного выполнения кода (Remote Code Execution, RCE) для Signal 1,5 миллиона долларов – в три раза больше, чем предлагала известная компания Zerodium.
Брокер эксплойтов работает следующим образом: исследователь отправляет описание продукта, компания анализирует его и, возможно, задает дополнительные вопросы, после чего делает предложение о покупке. Исследователь отправляет исходный код эксплойта, а компания после верификации эксплойта выплачивает исследователю награду.
После покупки эксплойта OpZero может продать его другим лицам. Дальнейшее использование эксплойта зависит от покупателя, и может включать в себя исправление уязвимостей, взлом или иные действия.