該漏洞利用收購(gòu)公司更新了其支付安排表，新增手機(jī)、服務(wù)器和桌面目標(biāo)。

8月23日，Zerodium更新了其漏洞利用收購(gòu)支付安排表，為零日漏洞利用增加了新的目標(biāo)，更新了收購(gòu)價(jià)格。新增目標(biāo)中包括了WhatsApp、iMessage和Signa等手機(jī)消息應(yīng)用，Zerodium將為這些目標(biāo)上本地提權(quán)零日漏洞的遠(yuǎn)程代碼利用，支付最高50萬(wàn)美元的酬勞。

Zerodium是一家2015年成立的獨(dú)立私營(yíng)公司，從事零日漏洞利用收購(gòu)業(yè)務(wù)。2015年9月，該公司以每個(gè)蘋(píng)果 iOS 9 零日漏洞100萬(wàn)美元的收購(gòu)價(jià)蜚聲全球。一年后，2016年9月，Zerodium將iOS零日漏洞收購(gòu)價(jià)提升至150萬(wàn)美元，該價(jià)格穩(wěn)居公司單個(gè)漏洞利用價(jià)碼首位。

新的50萬(wàn)美元手機(jī)消息漏洞價(jià)格，是應(yīng)Zerodium客戶(hù)的需求誕生的。

Zerodium創(chuàng)始人查烏基·貝克拉稱(chēng)：“Signal、Telegram和其他消息App在合法用戶(hù)間非常流行，但罪犯也十分愛(ài)用這些App。我們的政府客戶(hù)需要高級(jí)功能和零日漏洞利用，來(lái)追蹤和監(jiān)視依賴(lài)這些App的恐怖分子和罪犯。”

至于Zerodium為手機(jī)消息App開(kāi)出的50萬(wàn)美元漏洞獎(jiǎng)勵(lì)，該高價(jià)的部分原因，與在這些平臺(tái)上找尋可利用漏洞的難度有關(guān)。

貝克拉表示：“影響此類(lèi)App的零日漏洞利用的高價(jià)值，大部分源自這些App較小的攻擊界面——相對(duì)Web瀏覽器或文件閱讀器之類(lèi)其他軟件而言，這讓安全研究員在此類(lèi)消息App中發(fā)現(xiàn)并利用關(guān)鍵漏洞十分困難。”

Zerodium的新版支付列表上，消息App不是唯一新增的移動(dòng)目標(biāo)，與移動(dòng)操作系統(tǒng)捆綁的默認(rèn)電子郵件App也在懸賞之列。Zerodium將為此類(lèi)郵件App上利用本地提權(quán)零日漏洞的遠(yuǎn)程代碼執(zhí)行，同樣支付高達(dá)50萬(wàn)美元的酬勞。

除了移動(dòng)目標(biāo)，服務(wù)器和桌面系統(tǒng)也新增了目標(biāo)類(lèi)型，比如USB代碼執(zhí)行漏洞就價(jià)值3萬(wàn)美元。USB漏洞及其利用程序并不罕見(jiàn)，不過(guò)Zerodium要找的是更特別一些的。

USB欺騙很常見(jiàn)，但這些不是我們的項(xiàng)目要找的東西，我們主要尋求的是利用操作系統(tǒng)漏洞的USB漏洞利用。合格的攻擊應(yīng)該類(lèi)似震網(wǎng)所用的CVE-2010-2568。

CVE-2010-2568問(wèn)題已于2010年10月由微軟發(fā)布了補(bǔ)丁，但零日計(jì)劃(ZDI)在2015年3月揭示：該補(bǔ)丁實(shí)際上并不完整。因此，微軟又發(fā)布了一個(gè)新補(bǔ)丁，修復(fù)標(biāo)識(shí)為CVE-2015-0096的擴(kuò)大版漏洞。

與支付漏洞獎(jiǎng)勵(lì)并隨后向受影響廠商公開(kāi)漏洞細(xì)節(jié)的其他公司不同，Zerodium遵從商業(yè)披露策略，向其客戶(hù)報(bào)告所有收購(gòu)來(lái)的漏洞。Zerodium的零日研究饋送對(duì)Zerodium客戶(hù)開(kāi)放，包含有關(guān)于漏洞的安全信息，以及建議和防護(hù)措施。

我們不能透露Zerodium的總預(yù)算和支付給安全研究員的具體數(shù)額。但我們可以說(shuō)，我們每年都付出數(shù)百萬(wàn)美元，能夠幫助全世界的天才研究員體面地掙錢(qián)，我們感到非常自豪。