Zerodium พร้อมจ่าย 65 ล้านบาท ให้แก่ผู้ที่สามารถทำ Remote Jailbreak iPhone ได้

Zerodium นักจัดหาช่องโหว่ของซอฟต์แวร์รายใหญ่ ประกาศอัปเดตข้อเสนอใหม่ พร้อมจ่ายเงินรางวัลสูงสุดถึง $2,000,000 (ประมาณ 65 ล้านบาท) ให้แก่ผู้ที่ค้นพบช่องโหว่ Remote Jailbreak บน iPhone รวมไปถึงเพิ่มเงินรางวัลสูงสุด 2 เท่าให้แก่ผู้ที่รายงานช่องโหว่ Zero-day อื่นๆ แก่บริษัทแทนที่จะแจ้งเจ้าของผลิตภัณฑ์

เป็นที่ทราบกันดีว่า Zerodium จะรับซื้อช่องโหว่ Zero-day บนระบบปฏิบัติการและแอปพลิเคชันต่างๆ ไม่ว่าจะเป็น Apple iOS, Android, Linux, MS Outlook และอื่นๆ แล้วขายต่อไปยังหน่วยงานรัฐบาลที่เกี่ยวข้อง ซึ่งล่าสุด Zerodium ได้ออกมาอัปเดตเงินรางวัลสำหรับการค้นพบช่องโหว่ใหม่ สำหรับผู้ที่ค้นพบวิธี Jailbreak iOS จากระยะไกลและช่องโหว่ Zero-day ที่ช่วยให้สามารถขโมยข้อมูลจาก WhatsApp, iMessage และแอปพลิเคชันแชตออนไลน์อื่นๆ ได้

ก่อนหน้านี้ Zerodium เคยตั้งรางวัลไว้สูงสุดที่ $1,500,000 สำหรับผู้ที่สามารถ Jailbreak iOS จากระยะไกลได้แบบถาวร โดยต้องไม่พึ่งพาการมีปฏิสัมพันธ์ใดๆ กับผู้ใช้ (Zero-click) แต่ล่าสุดทางบริษัทฯ ได้เพิ่มเงินรางวัลเป็น $2,000,000 แล้ว ในขณะที่การ Jailbreak iOS จากระยะไกลโดยอาศัยปฏิสัมพันธ์กับผู้ใช้เล็กน้อย (เช่น Single-click) ก็ถูกเพิ่มเงินรางวัลจาก $1,000,000 ไปเป็น $1,500,000 เช่นกัน

นอกจากนี้ Zerodium ยังเพิ่มเงินรางวัลเป็น 2 เท่าสำหรับช่องโหว่ Remote Code Execution (RCE) ที่ค้นพบบนแอปพลิเคชันประเภท Secure Messaging เช่น WhatsApp, iMessage และ SMS/MMS Apps บนทุกระบบปฏิบัติการอีกด้วย โดยให้เงินรางวัลสูงสุดที่ $1,000,000

เงินรางวัลสำหรับการค้นพบช่องโหว่อื่นๆ ได้แก่

• $1,000,000 สำหรับช่องโหว่ RCE แบบ Zero-click บนระบบปฏิบัติการ Windows (เพิ่มจาก $500,000)
• $500,000 สำหรับช่องโหว่ RCE บน Chrome รวมไปถึง Sandbox Escape (เพิ่มจาก $250,000)
• $500,000 สำหรับช่องโหว่ RCE บน Apache หรือ Microsoft IIS เช่น Remote Exploit ผ่านทาง HTTP(S) Request (เพิ่มจาก $250,000)
• $500,000 สำหรับช่องโหว่ Local Privilege Escalation บน Safari รวมไปถึง Sandbox Escape (เพิ่มจาก $200,000)
• $250,000 สำหรับช่องโหว่ RCE บน Outlook เช่น Remote Exploit ผ่าน Malicious Email (เพิ่มจาก $150,000)
• $250,000 สำหรับช่องโหว่ RCE บน PHP หรือ OpenSSL (เพิ่มจาก $150,000)
• $250,000 สำหรับช่องโหว่ RCE บน Microsoft Exchange Server (เพิ่มจาก $150,000)
• $200,000 สำหรับช่องโหว่ Local Privilege Escalation บน Kernel หรือ Root บน Android หรือ iOS (เพิ่มจาก $100,000)
• $200,000 สำหรับช่องโหว่ VMWare ESXi Virtual Machine Escape เช่น Guest-to-host Escape (เพิ่มจาก $100,000)
• $100,000 สำหรับช่องโหว่บายพาส Local PIN/Passcode หรือ Touch ID บน Android หรือ รOS (เพิ่มจาก $15,000)
• $80,000 สำหรับช่องโหว่ Local Privilege Escalation บน Windows รวมไปถึง Sandbox Escape (เพิ่มจาก $50,000)

ที่มา: https://thehackernews.com/2019/01/zero-day-exploit-market.html