Vannak olyan vállalatok, például a Zerodium vagy a székhelyét az Egyesült Arab Emírségekben üzemeltető Crowdfense, amelyek azért szereznének meg nulladik napi sebezhetőségeket (amelyek még ismeretlenek a szoftverek gyártói számára is), hogy azokat azután tovább értékesítsék kormányzati, állami szerveknek. Saját maguknak nincsenek hackerei, viszont hajlandók fizetni a „külsősöknek” a megtalált biztonsági résekért.

A hackerek dolga is egyre nehezebb, ugyanis a gyártók is nagyon figyelnek arra, hogy a szoftvereikbe minél kevesebb ilyen hiba kerüljön, bár 100 százalékosan biztonságos program nehezen képzelhető el.

Mindenesetre emelkednek az árak, amelyeket a hackerek szabnak, vagy amelyeket kedvcsinálóként lengetnek be. A TechCrunch számolt be arról, hogy a már említett Crowdfense startup ennek megfelelően frissítette az árlistáját. Míg a legutóbbi, 2019-ben közzétett árai szerint a legmagasabb kifizetések 3 millió dollárt tettek ki androidos és iOS-es nulladik napi sebezhetőségkért, addig most a vállalkozás hajlandó 5–7 millió dollárt adni az iPhone-os és 5 millió dollárt az androidos hibáért.

A Google Chrome nulladik napi sebezhetősége akár 3 millió dollárt, a Safarié 3,5 millió dollárt ér, annak pedig az iMessage-ban vagy a WhatsAppban talál ilyen sebezhetőséget, 3 és 5 millió dollár közötti összeg ütheti a markát.

Paolo Stagno, a Crowdfense kutatási igazgatója szerint a szoftvergyártók erőfeszítései következtében az egész üzlet sokkal bonyolultabbá, sokkal időigényesebbé vált, és ez az árban is megmutatkozik. Míg 2015-ben vagy 2016-ban egy kutató is találhatott egy vagy több nulladik napi sebezhetőséget (és fejlesztette azt egy teljes értékű, iPhone-okat vagy Androidokat célzó exploitté.), mára ez szinte lehetetlen, több kutatócsoportra van szükség, ami szintén hozzájárul az árak emelkedéséhez.

A TechCrunch szerint a Crowdfense kifizetések jelenleg a „legmagasabb nyilvánosan ismert árak” Oroszországon kívül, ahol az Operation Zero nevű cég tavaly akár 20 millió dollárt is fizetett volna az iPhone-ok és androidos eszközök feltöréséhez szükséges eszközökért. Csak összehasonlításképpen: az Apple is kínál saját hibavadász programot, azonban ebben a biztonsági kutatók maximum 2 millió dollárt kereshetnek.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.