Zerodium è una delle aziende più note per l’acquisto e la diffusione di exploit zero day (vulnerabilità non ancora conosciute). Quello che fa l’azienda americana in pratica è cercare sul mercato bug ed exploit appena scoperti (in genere da sviluppatori e hacker) e acquistarne i “diritti”.
Queste vulnerabilità non sono ancora note a nessuno, men che meno alle aziende produttrici dei prodotti “colpiti”, e idealmente l’hacker che le ha scoperte è l’unico a esserene a conoscenza. Per questo motivo Zerodium, una volta acquistate le informazioni esclusive sull’exploit, può decidere di farne ciò che vuole.
Normalmente Zerodium informa i suoi clienti, grandi aziende e governi (il fondatore Chaouki Bekrar qualche anno fa ha dichiarato che tratta solo con governi democratici), includendo informazioni su come difendersi dalla vulnerabilità.
Bekrar lascia intendere che limitando la diffusione degli zero day solo a poche aziende e governi si riducono gli abusi rispetto alla full disclosure (basta leggere come sono state formulate le domande in un suo recente poll su Twitter):
What a researcher should do with his/her 0day?
1. Full disclosure so anyone/Govs can (ab)use it without limits/regulation
2. Sell to Govs/brokers and get a decent revenue while limiting (ab)use
3. Report to vendors & get sued, or get shitty bounties and/or your name in advisories— Chaouki Bekrar (@cBekrar) December 12, 2018
Quello che potrebbe succedere è che un governo, una volta acquisito un exploit da Zerodium, possa decidere di darlo alle forze di pubblica sicurezza (inclusi i servizi segreti) e usarlo per le operazioni che ritiene più opportune.
Oggi l’azienda ha fatto notizia perché ha ulteriormente alzato il “premio” che paga per acquisire zero day.
Announcement: We are increasing our bounties for almost every product.
We're now paying $2,000,000 for remote iOS jailbreaks, $1,000,000 for WhatsApp/iMessage/SMS/MMS RCEs, and $500,000 for Chrome RCEs.
More information at: https://t.co/0NBRnq4I4y pic.twitter.com/vXDyxC3Q4v— Zerodium (@Zerodium) January 7, 2019
L’hacker che riuscisse a scoprire un remote jailbreak “zero click” per iPhone riceverebbe ben due milioni di dollari USA. Un milione di dollari per chi trova una falla su WhatsApp, iMessage o SMS/MMS che consenta l’esecuzione remota di codice. Stessa cifra per chi dovesse scoprire uno zero day dagli effetti analoghi per i sistemi Windows.
Una lista completa è disponibile qui.
Da notare come l’azienda applichi prezzi decisamente superiori per gli zero day su dispositivi mobili, soprattutto iPhone. Per Zerodium (e quindi, presumibilmente, per i governi suoi clienti) riuscire a entrare su un cellulare vale il doppio rispetto alla stessa operazione compiuta su un sistema desktop.
