Hasta 2 millones por encontrar fallos en iPhone, o 1 millón por encontrarlos en WhatsApp
Así lo ha revelado la compañía tras actualizar los precios de las vulnerabilidades. Hasta ahora, Zerodium ofrecía hasta 1,5 millones de dólares por hackeos persistentes a iOS que puedan ser ejecutados de manera remota sin interacción del usuario (zero-click). Ante la ausencia de este tipo de vulnerabilidades, han decidido aumentar la recompensa a 2 millones de dólares.
En el caso de que se descubra una vulnerabilidad que sí requiera un click (single-click), el precio pasa a ser de 1,5 millones de dólares, frente a 1 millón de dólares que pagaban hasta ahora.
En 1 millón de dólares encontramos ahora vulnerabilidades de día cero por las que antes se pagaban 500.000 dólares, como las que puedan afectar a apps de mensajería como WhatsApp, iMessage, o las de los SMS que usan nuestros móviles. Curiosamente, la de Signal, usada por mucho expertos, periodistas y personas que quieren mantener sus comunicaciones 100% seguras, se ha mantenido en 500.000 dólares. El hecho de que la app sea extremadamente segura y que tiene mucha menor popularidad que las otras probablemente han contribuido a ello.
Otra cuantía que sube de los 500.000 dólares a 1 millón de dólares es para aquél que encuentre una vulnerabilidad de ejecución remota en Windows sin interacción del usuario (zero-click).
A 500.000 dólares han subido aquellas relacionadas con ejecución remota de código en Chrome, sea cual sea la plataforma. Antes eran 250.000 para Chrome en Windows, y 200.000 para Chrome en Android. Por 250.000 dólares también se buscan vulnerabilidades relacionadas con correos electrónicos, como las que afecten a Outlook o Exchange.
Las vulnerabilidades en móviles se buscan cada vez más
Otras vulnerabilidades interesantes son las que permiten escalar privilegios al kernel o conseguir root en Android, así como realizar acciones equivalentes en iOS, que pasa a pagarse a 200.000 dólares frente a los 100.000 que daban antes. Otras que han subido mucho en móviles son las de conseguir saltarse el PIN o Touch ID en iOS y Android, que pasan de 15.000 a 100.000 dólares.
Las subidas de precio que la compañía ha aplicado están relacionadas con la demanda de las vulnerabilidades, unido a que cada vez los dispositivos y sistemas que usamos a diarios son más seguros. También buscan atraer a más investigadores y hackers, que tienen más incentivos en comunicarle las vulnerabilidades a Zerodium que a los propios fabricantes.
Las vulnerabilidades han de ser originales y no haberse reportado previamente. Zerodium dice que podrían pagar más de los 2 millones que prometen dependiendo de lo excepcional que sea una vulnerabilidad o una investigación. A su vez, también pueden pagar menos dependiendo de la versión del software afectado, la fiabilidad, o si el proceso está completo o es sólo parcial. Si todo está correcto y se ha enviado el exploit con una prueba de concepto, el dinero se envía en menos de una semana.
Recientemente, Zerodium publicó una vulnerabilidad de día cero crítica en el plugin NoScript que permitía ejecutar JavaScript malicioso en el navegador Tor para obtener la dirección IP real, incluso si se estaba usando el máximo nivel de seguridad. Tor 8.0 y posterior parcheó el fallo.
