Företaget Zerodium betalar pengar till den som hittar ett sätt att hacka iOS och berättar för dem om hur man gör. Den som hittar en allvarlig sårbarhet kan bli miljonär på kuppen – och nu erbjuder Zerodium mer pengar än någonsin.
- Vissa belöningar har fördubblats av Zerodium
- Kan som mest få 18 miljoner kronor för ett säkerhetshål
- Myndigheter som NSA och tyska BSI köper sårbarheter av Zerodium
- Apple förlorar striden om buggarna — forskare säljer till tredjepart
Zerodium har som affärsmodell att samla på sig sårbarheter i olika system – exempelvis Android och iOS – för att sedan sälja vidare till andra. Bland kunderna som handlat hos Zerodium hittar vi anmärkningsvärda namn som NSA och tyska BSI. Knappast några lättviktare alltså.
Och vi kan bara gissa vad myndigheterna betalar till Zerodium när privatpersoner kan tjäna så mycket som 18 miljoner kronor på en enda sårbarhet. Det är nämligen den nya, högsta utbetalningsnivån som Zerodium har.
För att nå den summan krävs att du hittar en sårbarhet i iOS som gör att operativsystemet kan hackas utan att användaren måste göra något. Det kan exempelvis räcka med att besöka en webbsajt preparerad med skadlig kod. Knappast en sårbarhet man hittar i en handvändning.
Hittar du en sårbarhet som gör att iOS kan hackas via SMS- eller iMessage kan det ge en utbetalning på 9 miljoner kronor istället. Det är dubbelt så mycket som tidigare.
Mindre sårbarheter i iOS gör dig nästan till miljonär
Andra, mindre sårbarheter som kringgår Touch ID och pin-koden i iOS ger dig nu 900 000 kronor – en rejäl ökning från 135 000 kronor tidigare.
Givetvis är det inte bara Apples prylar som Zerodium är intresserad av. Som mest kan du få 9 miljoner kronor för ett hack av Windows RCE via SMB eller RDP. En fördubbling mot tidigare. Och lyckas du knäcka säkerheten i Chrome kan du få 4,5 miljoner som tack.
Det är inte svårt att gissa varför belöningarna höjs. Företagen blir allt bättre på att hitta och täppa till sårbarheter, inte minst Apple, vilket gör jobbet svårare för Zerodium. Och med allt färre sårbarheter blir det svårt att erbjuda NSA och BSI nya hål att utnyttja. Vilket driver upp priserna.
Tidigare i februari 2018 skrev vi en artikel om hur Apple riskerar att förlora striden mot företag som Zerodium. Och att säkerhetsforskare som hittar sårbarheter ogärna delar med sig av informationen om dem. Frågan är nu om höjda belöningar kan locka forskarna att ge upp sina sårbarheter – vad tror du?