バグブローカーの Zerodium は、重大な脆弱性を利用して Android デバイスを密かに遠隔から乗っ取る技術と引き換えに最大 250 万ドルを支払うと発表しており、セキュリティホールの価格設定に大きな変化があることを示唆している。
火曜日に発表された新たな賞金体系により、ZerodiumにGoogleのOSに対する概念実証フルチェーンエクスプロイトを提供した脆弱性ハンターは、250万ドルの最高賞金を獲得できることが明らかになりました。一方、これまではるかに高い価値と考えられていたiOSのバグに対する賞金は、最大で半減しました。
Zerodium は今回の措置の理由については明らかにしていないが、今回の発表は、中国政府が 2 年以上にわたり、iOS および Android の重要なゼロデイ脆弱性を利用してウイグル族のイスラム教徒をスパイしていたという報道を受けて行われたものである。
匿名の情報セキュリティの第一人者で、元エクスプロイトブローカーの The Grugq 氏は、現在 iOS に注目が集まりすぎていて、お金を払う意思のある人には利用可能なエクスプロイトが多すぎると指摘し、そのため Zerodium は、Google プラットフォームへの関心を生み出し、それに報いるために、信頼性の高いフルチェーンの Android ハイジャック エクスプロイトという希少なアイテムの価格を値上げしていると述べています。
巨額の賞金を獲得するには、ハッカーはAndroidデバイスを、ファイルを開くなどのユーザー操作を一切行わずに、かつ永続的に侵入させる必要があります。つまり、侵入したファイルは再起動後も残る必要があります。簡単に稼げる金額ではありません。Androidでは、このような脆弱性を見つけるのは困難です。Androidでは、アプリケーションは通常サンドボックス内にロックされているため、システムレベルでの永続的なリモートコード実行は困難ですが、不可能ではありません。
ZerodiumがAndroidのフルチェーン脆弱性に対する報奨金を提供するのは今回が初めてです。これまでの報奨金はChromeのリモートコード実行とローカル権限昇格の脆弱性に限定されており、それぞれ最大50万ドルの報奨金が支払われていました。今回の報奨金により、AndroidはZerodiumのバグ購入プログラムにおいて最も価値のあるターゲットとなります。iOSにおける同様のゼロクリックフルチェーン脆弱性は200万ドル、WindowsにおけるゼロクリックRCEは最大100万ドルの報奨金が支払われます。
「ゼロデイエクスプロイトを入手するためにZerodiumが研究者に支払う金額は、影響を受けるソフトウェア/システムの人気度とセキュリティレベル、および提出されたエクスプロイトの品質(完全なチェーンか部分的なチェーンか、サポートされているバージョン/システム/アーキテクチャ、信頼性、回避されたエクスプロイト緩和策、デフォルトと非デフォルトのコンポーネント、プロセスの継続など)によって異なります」とバグブローカーは指摘しています。
GoogleはAndroidの世界に対してもう少し責任を持ち、大人気アプリのバグに対して報奨金を出す予定だ
続きを読む
Zerodium は、Android の脆弱性攻撃に対する価格を値上げするだけでなく、ゼロクリックの WhatsApp および iMessage のリモート コードと権限昇格に対する支払額を 100 万ドルから 150 万ドルに引き上げると発表しました。
一方、iOS の脆弱性を利用して金儲けを企んでいる人たちには悪い知らせが届くことになる。Zerodium が、ワンクリック (ユーザーがファイルを開く必要がある) の iOS と iMessage の脆弱性に対する賠償金を、それぞれ 150 万ドルと 100 万ドルから、100 万ドルと 50 万ドルに引き下げるというのだ。
デスクトップおよびサーバーのエクスプロイトに対する支払額は変更ありません。
この発表は、Google が Android コードと Android 上で実行される人気アプリに対するバグ報奨金プログラムを拡大してからわずか 1 週間後に行われましたが、その価格は Zerodium が提示している価格には遠く及びません。®
