CISO Advisor: 242.318 page views/mês - 93.273 usuários/mês - 5.338 assinantes

iOS13.jpg

Empresa paga US$ 30 milhões por dias zero no Android e no iOS 

Da Redação
09/04/2024

A empresa de aquisição de exploits Crowdfense está oferecendo um total de US$ 30 milhões para códigos maliciosos de exploração de dias zero direcionados aos sistemas operacionais móveis Android e iOS e aos navegadores de internet Chrome e Safari. Fundada em 2017, a Crowdfense se descreve como “um centro de pesquisa e plataforma de aquisição de explorações de dia zero de alta qualidade e pesquisa avançada de vulnerabilidades”.

Em 2019, a empresa anunciou um programa de aquisição de exploits para vulnerabilidades de dia zero do Android e iOS, oferecendo pagamentos de até US$ 3 milhões para explorações de cadeia completa, anteriormente não relatados. Neste ano, a empresa anunciou recompensas significativamente maiores como parte do programa, oferecendo gratificações de até US$ 9 milhões para explorações de cadeia completa sem clique, entregues via mensagens SMS ou MMS.

Pesquisadores capazes de fornecer explorações de cadeia completa sem clique para Android podem ganhar até US$ 5 milhões, enquanto aqueles que identificam dias zero semelhantes no iOS podem receber até US$ 7 milhões por suas descobertas, diz a Crowdfense. Explorações que levem à execução remota de código e fuga de sandbox no iOS podem render aos pesquisadores até US$ 3,5 milhões.

Veja isso
Apple lança patches para quatro falhas que afetam iOS e iPadOS
Trojan Vultur para Android se faz passar pelo app McAfee Security

A empresa está disposta a pagar entre US$ 2 milhões e US$ 3 milhões por explorações do Chrome que levem à execução remota de código e escalonamento de privilégios locais, e US$ 2,5 milhões a US$ 3,5 milhões por explorações semelhantes direcionadas ao Safari. A Crowdfense também está oferecendo centenas de milhares de dólares para explorações de escape de sandbox menos impactantes direcionadas ao Chrome e Safari.

Segundo a empresa, apenas explorações de dia zero totalmente funcionais e de alta qualidade serão avaliadas como parte do programa. “Os pagamentos para recursos exclusivos de cadeias completas ou não reportados anteriormente variam de US$ 10 mil a US$ 9 milhões por envio bem-sucedido. As cadeias parciais serão avaliadas caso a caso e precificadas proporcionalmente”, anunciou a Crowdfense.

Acesse o programa de aquisição de exploits Crowdfense (em inglês) clicando aqui.

Compartilhar: