Het bedrijf Zerodium dat zeroday-exploits inkoopt heeft 2,5 miljoen dollar uitgeloofd voor een aanval waarmee een Androidtelefoon zonder interactie van de gebruiker op afstand kan worden overgenomen. Volgens Zerodium is het voor het eerst dat het meer biedt voor een Android-exploit dan voor een aanval waarmee iOS-apparaten op afstand zijn over te nemen. Voor een "zero click" iOS-exploit biedt het bedrijf namelijk 2 miljoen dollar.
Zerodium stelt op Twitter dat het de beloning "in overeenstemming met de huidige marketingtrends" heeft aangepast. Naast de verhoogde beloning voor een Android-exploit zijn ook de beloningen aangepast om telefoons via kwetsbaarheden in WhatsApp en iMessage over te nemen, wederom zonder interactie van de gebruiker. Voorheen betaalde Zerodium hier 1 miljoen dollar voor. Nu is dat verhoogd naar 1,5 miljoen dollar.
Voor aanvallen op iOS en iMessage waarbij de gebruiker nog een click moet uitvoeren is de beloning juist verlaagd. Onderzoekers die een dergelijke aanval voor iOS ontwikkelden kregen eerst nog 1,5 miljoen dollar, wat nu 1 miljoen dollar is geworden. Een aanval op iMessage waardoor het systeem na een click is over te nemen levert nu 500.000 dollar op. Dit was eerst 1 miljoen dollar.
De prijswijziging volgt op twee berichten van Google dat het tien kwetsbaarheden had gevonden om iPhones op afstand over te nemen en dat iPhone-gebruikers twee jaar lang het doelwit van een aanvalscampagne waren waarbij veertien iOS-kwetsbaarheden werden gebruikt. Zerodium verkoopt verkregen zeroday-exploits naar eigen zeggen voornamelijk door aan overheidsinstanties.
Deze posting is gelocked. Reageren is niet meer mogelijk.