Zerodium 是一家主营软件漏洞采购,并将之向政府和执法机构转售的企业。今天,该公司更新它的软件漏洞价目表,显示 Android 漏洞的利用价值,已首次反超 iOS 。从今天开始,Zerodium 将以 250 万美元的高价,向黑客和安全研究人员收购无需用户点击的 Android 零交互漏洞。作为对比,iOS 平台上的类似漏洞,其价值仅为 200 万美元。
一年前,Zerodium 仅给此类 Android 漏洞开出了 20 万美元的报价,但现在已翻到 12 倍(相当于某些较小的 Android 漏洞的百倍价值)。
对于最新的 Android 10 移动操作系统,Zerodium 显然也已经做好了相应的准备。对于谷歌发言人来说,这个时间当口确实有些尴尬,因此其选择了不予回应。
即时通讯(IM)类漏洞的收购奖励也水涨船高
与此同时,Zerodium 还宣布增加对即时通讯客户端漏洞的收购支出,且不论其运行在哪一个操作系统上。
即时未能实现重启后的持久性,WhatsApp 或 iMessage 中的无用户交互(零点击)、远程代码执行(RCE)、以及本地权限提升(LPE)漏洞的价值,现也高达 150 万美元。
如需用户交互介入,则其利用价值会降低至 100 万(WhatsApp)和 50 万(iMessage)美元。作为对比,去年这两款 App 的漏洞收购价,最高也只有 50 万美元。
Zerodium 还指出了近期的“市场趋势”
该公司在官方 Twitter 账户上称,近期的漏洞价格上调,迎合着最新的市场趋势。这与 Zerodium CEO Chaouki Bekrar 在今年 3 月接受 ZDNet 采访时的论调一致。
此前,该公司推出了基于云技术的零日漏洞收购计划。Bekrar 表示,Zerodium 客户对利用链有着特定的要求,基于此,该公司会适当地增加漏洞提交的奖励。
换言之,Zerodium 此番价格调整,意味着政府执法机构对获取 Android 设备的软件漏洞,有了突然的兴趣提升。
来源:cnBeta.COM
更多资讯
谷歌表示正在修复恶意日历欺诈问题
据外媒报道,至少从今年 5 月开始,恶意人士就开始在未经允许的情况下向 Gmail 用户发出了 Calendar(日历)邀请。据了解,这个骗局利用了大多数人都会将自己的谷歌账号设置为自动添加并通知他们日历邀请这点,诈骗者在邀请中附带的URL中植入了特洛伊木马然后借此让用户进入一个钓鱼网站。
来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/5028.html
工信部就“ZAO”App 网络数据安全问题开展问询约谈
据@工信微报消息,9 月 3日,针对媒体公开报道和用户曝光的“ZAO”App 用户隐私协议不规范,存在数据泄露风险等网络数据安全问题,工业和信息化部网络安全管理局对北京陌陌科技有限公司相关负责人进行了问询约谈,要求其严格按照国家法律法规以及相关主管部门要求,组织开展自查整改,依法依规收集使用用户个人信息,规范协议条款,强化网络数据和用户个人信息安全保护。
来源:TechWeb
详情链接:https://www.dbsec.cn/blog/article/5029.html
自动软件每天打 2000 骚扰电话 人工智能用这儿了?
“先生,最近还考虑买房吗?”“女士,这边有一款保险要了解一下吗?”“您好,我们是XX教育培训机构”……每一天,我们几乎都会接到类似的骚扰电话。日前,工业和信息化部信息通信管理局组织召开了综合整治骚扰电话专项行动工作会,要求进一步加大骚扰电话源头治理力度,骚扰电话综合整治有望升级。
来源:北京日报
详情链接:https://www.dbsec.cn/blog/article/5030.html
远程锁电脑要求扫码付百元赎金 东莞黑客获刑六年半
电脑感染病毒后弹出微信收款二维码,用户被要求支付 110 元才能获得解密密匙,该病毒共导致两万多台电脑“中招”。3日,东莞市第三人民法院对国内首例要求微信支付赎金的勒索病毒案作出一审判决,判处病毒制造者、“95后”男子罗某有期徒刑六年六个月。
来源:羊城晚报
详情链接:https://www.dbsec.cn/blog/article/5031.html
(信息来源于网络,安华金和搜集整理)
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/51312.html