В Twitter известного брокера уязвимостей, компании Zerodium появилось сообщение о том, что в ближайшие месяцы компания не будет приобретать новые эксплоиты для уязвимостей в iOS, так как предложение превысило спрос.

В свою очередь, глава Zerodium Чауки Бекрар пишет в своем личном Twitter следующее:

Напомню, что согласно актуальному прайс-листу компании, RCE + LPE уязвимости в Safari оценивались в 500 000 долларов США. Более серьезные эксплоиты, такие как FCP (full chain with persistenc, полная цепочка с постоянным присутствием в системе) для ­iOS, по-прежнему могут стоить до 2 000 000 долларов.

При этом еще осенью прошлого года эксплоиты для Android впервые в истории стали стоить дороже, чем эксплоиты для iOS. Тогда Чауки Бекрар объяснял, что изменяя цены таким образом, его компания лишь реагирует на рыночные тенденции, и уже тогда отмечал, что количество эксплоитов для iOS быстро растет.

Вскоре после этого, в декабре прошлого года, Apple открыла для широкой публики свою программу bug bounty, существующую с 2016 года, но ранее доступную только избранным исследователям.

Райан Наррейн (Ryan Narraine), стратег по безопасности Intel, назвал нынешнюю позицию Zerodium «чистым PR/маркетинговым трюком» и охарактеризовал заявления компании, как троллинг.

Патрик Уордл (Patrick Wardle), главный исследователь в Jamf Security и основатель Objective-See, рассказал журналистам издания The Register, что вероятно, в заявлениях Zerodium есть немного правды и немного троллинга.

Теги: CSS