Skrivnostno arabsko podjetje ponuja 20 milijonov dolarjev za vdor v pametne telefone
Na trgu z ranljivostmi v programski opremi, ki ga obvladujejo uveljavljena imena, se je pojavil nov skrivnostni igralec z imenom Advanced Security Solution, ki ponuja visoke zneske za odkup novoodkritih, še neznanih ranljivosti. Novo mlado podjetje je registrirano v Združenih arabskih emiratih in ponuja do 20 milijonov dolarjev za nove ranljivosti.
To pa so že zelo visoki zneski. Za 20 milijonov dolarjev jim je treba dostaviti nepoznano ranljivost (zero-day vulnerability), ki deluje na kateremkoli mobilnem operacijskem sistemu. Bolj specializirane luknje so vredne manj, denimo 15 milijonov dolarjev za vdor v iPhone ali Android, 10 milijonov dolarjev za Windows, pet milijonov dolarjev za Chrome in milijon dolarjev za Safari in Edge.
A visoki zneski niso glavni razlog za skrb. Z nelagodjem celotno skupnost navdaja dejstvo, da ni jasno, za čigavo podjetje gre niti kdo so stranke. Na spletnih straneh so zapisali, da sodelujejo z državnimi organi in agencijami v več kot 25 državah sveta. Podjetje je novo, zaposleni pa naj bi bili stari mački z 20-letnimi izkušnjami, še trdijo. Na novinarska vprašanja se ne odzivajo.
Drugi stari mački, ki niso zaposleni v tem podjetju, pojasnjujejo, da so njihove ponudbe visoke, a ne pretirane in približno usklajene s stanjem na trgu. Za res celovito ranljivost, ki na poljubnem telefonu omogoča poganjanje katerekoli kode, je 20 milijonov dolarjev pravzaprav skromen znesek. V zadnjih 10 letih se je namreč tovrstni trg močno razvil, igralcev pa je več kot kdajkoli prej. In prav zato z nepoznanim podjetjem marsikdo ne bi želel sodelovati.
Pred desetletje, ko je na tem področju Zerodium oral ledino, so ponujali milijon dolarjev kot najvišjo odkupno ceno. Crowdfense jih je kmalu prehitel s ponudbo treh milijonov dolarjev, kasneje pa so cene poletele pri vseh ponudnikih. Trg se je tudi diferenciral, saj so na primer zaželene tudi zelo specifične ranljivost, kot je vdor v WhatsApp.
