ZERODIUM บริษัทนายหน้าซื้อขายช่องโหว่ซอฟต์แวร์ประกาศปรับราคารับซื้อ รอบใหม่ โดยเพิ่มหมวดการโจมตีแอนดรอยด์แบบผู้ใช้ไม่ต้องคลิกใดๆ ราคาแพงที่สุด 2.5 ล้านดอลลาร์ แซงหน้าช่องโหว่แบบเดียวกันของ iOS ที่รับซื้อราคาเดิม 2 ล้านดอลลาร์
นอกจากการเพิ่มช่องโหว่แอนดรอยด์แล้ว ZERODIUM ยังปรับลดราคาการโจมตีแบบคลิกเดียวสำหรับ iOS เหลือ 1 ล้านดอลลาร์จาก 1.5 ล้านดอลลาร์
Chaouki Bekrar ผู้ก่อตั้ง ZERODIUM ระบุกับ WIRED ว่าช่องโหว่ iOS เริ่มมีขายมากขึ้นในตลาดทำให้ราคาเริ่มปรับลด ขณะที่แอนดรอยด์มีการปรับปรุงต่อเนื่องทำให้การพัฒนาการโจมตีแบบผู้ใช้ไม่ต้องคลิกเลยนั้นทำได้ยากขึ้นมาก
บริษัทค้าช่องโหว่ซอฟต์แวร์ ZERODIUM ประกาศราคารับซื้อช่องโหว่ชุดใหม่ หลังจากเริ่มรับซื้อช่องโหว่มาตั้งแต่ปี 2015 โดยช่องโหว่ที่แพงที่สุดคือช่องโหว่ jailbreak จากระยะไกลบน iOS โดยที่ผู้ใช้ไม่ต้องคลิกลิงก์ใดๆ ราคาสูงถึง 2 ล้านดอลลาร์ จากเดิมเคยให้ราคา 1.5 ล้านดอลลาร์
ช่องโหว่อื่นๆ ก็ล้วนขึ้นราคาถ้วนหน้า ช่องโหว่ที่ราคาสูงเป็นพิเศษคือ ช่องโหว่รันโค้ดบน Chrome และ Safari ที่ปรับราคาเป็น 500,000 ดอลลาร์ จากเดิม 200,000 ดอลลาร์ หรือเพิ่มถึง 2.5 เท่าตัว
ZERODIUM บริษัทจัดหาช่องโหว่ซอฟต์แวร์ประกาศโครงสร้างราคารับซื้อช่องโหว่ชุดใหม่ โดยฝั่งอุปกรณ์เคลื่อนที่นั้นมีราคาสูงจนน่าตกใจ ช่องโหว่ที่ราคาสูงสุดที่สุดคือการเจลเบรคไอโฟนได้จากระยะไกลโดยผู้ใช้ไม่ต้องคลิกอะไรเพิ่มเติม ราคาสูงสุดถึง 1,500,000 ดอลลาร์หรือห้าสิบล้านบาท ส่วนช่องโหว่เจลเบรคจากระยะไกลปกติราคาล้านดอลลาร์
ที่น่าแปลกใจคือแอปแชตยอดนิยมทั้งหลาย ตั้งแต่ WhatsApp, Telegram, Facebook Messenger, WeChat, iMessage, รวมไปถึง SMS และอีเมล ราคารับซื้อช่องโหว่แบบรันโค้ดจากระยะไกลพร้อมกับยกระดับสิทธิ์ของซอฟต์แวร์ (local privilege escalation) มีราคาสูงถึง 500,000 ดอลลาร์ แสดงให้เห็นว่าลูกค้าของ ZERODIUM มีความต้องการจะเจาะเครื่องปลายทางที่แชตอยู่ด้วย
By: lew 
on 6 January 2016 - 13:34
Tags:
Topics:
เมื่อปีที่ผ่านมา Adobe Flash มีอัพเดตโดยเพิ่มฟีเจอร์ความปลอดภัยใหม่จาก Project Zero เป็นตัวแบ่งส่วน heap (isolators of heaps) ทำให้แม้ Flash จะมีช่องโหว่แต่ก็ไม่สามารถเจาะออกไปยังระบบอื่นๆ ได้ แม้จะมีข้อจำกัดว่าใช้ได้เฉพาะในโครมรุ่น 64 บิตเท่านั้น แต่การใช้งานก็มากขึ้นเรื่อยๆ Zerodium นายหน้าค้าช่องโหว่ซอฟต์แวร์ก็ออกประกาศหาทางเจาะทะลุการป้องกันนี้แล้ว โดยตั้งรางวัล 100,000 ดอลลาร์
แนวทางการแยก heap ออกจากกันได้รับความนิยมมากขึ้นเรื่อยๆ การอัพเดตรอบเดือนธันวาคมที่ผ่านมาไมโครซอฟท์ก็เข้ามาช่วยกับอโดบีในการพัฒนาเทคนิคนี้
Zerodium บริษัทรับซื้อช่องโหว่ซอฟต์แวร์ที่ประกาศจ่ายเงินล้านดอลลาร์สำหรับช่องโหว่ iOS และเพิ่งได้จ่ายไปไม่นานนี้ ออกมาประกาศรายการราคาช่องโหว่ซอฟต์แวร์ประเภทต่างๆ ที่รับซื้อ