Theo báo cáo của The Times of India, một số công ty, tổ chức đang mua lỗ hổng Zero-day trên iPhone với giá lên đến 7 triệu USD và 5 triệu USD đối với điện thoại Android.
Lỗ hổng Zero-day (hay 0-day) là thuật ngữ để chỉ những lỗ hổng phần mềm hoặc phần cứng chưa được phát hiện trước đó và chưa được khắc phục trong các bản cập nhật phần mềm của nhà sản xuất. Các hacker có thể tận dụng lỗ hổng này để tấn công, xâm nhập vào hệ thống máy tính của doanh nghiệp, tổ chức nhằm đánh cắp hoặc thay đổi dữ liệu.
Crowdfense, một công ty khởi nghiệp tại UAE, đă thu mua các lỗ hổng Zero-day trên smartphone và rao bán cho các cơ quan Chính phủ, nhà thầu. Công ty đă mạnh tay chi số tiền lên tới hàng triệu USD cho những ai có thể xâm nhập vào iPhone, điện thoại Android, các ứng dụng nhắn tin như WhatsApp, iMessage và các tŕnh duyệt web bao gồm Chrome, Safari.
Lỗ hổng Zero-day có thể được hacker tận dụng để xâm nhập vào hệ thống máy tính của doanh nghiệp, tổ chức
Theo bảng giá dịch vụ của Crowdfense, số tiền được trả cho các lần khai thác Zero-day trên iPhone có thể lên tới 7 triệu USD. Đối với điện thoại Android là 5 triệu USD; 3 đến 3,5 triệu USD cho tŕnh duyệt Chrome và Safari; 3 đến 5 triệu USD cho ứng dụng WhatsApp và iMessage.
So với năm 2019 - lần gần nhất công ty đưa ra bảng giá, dịch vụ của Crowdfense đă có phần tăng về mức giá. Nguyên nhân một phần được cho là bởi các gă khổng lồ công nghệ như Apple, Google và Microsoft đă tăng cường tính bảo mật cho các thiết bị và ứng dụng của họ, khiến chúng ngày càng trở nên khó bị hack hơn.
Shane Huntley, người đứng đầu Nhóm phân tích các mối đe dọa của Google, cho rằng: "Khi ngày càng có nhiều lỗ hổng Zero-day được phát hiện bởi nhóm phân tích mối đe dọa như của Google và các biện pháp bảo vệ hệ thống tiếp tục được cải thiện, nỗ lực và thời gian cần thiết để phát hiện lỗ hổng của những kẻ tấn công càng tăng lên. Điều này dẫn đến sự gia tăng chi phí cho những phát hiện về các lỗ hổng bảo mật".
Dựa trên kinh nghiệm cá nhân, chuyên gia phân tích David Manouchehri cho biết, mức giá mà Crowdfense đưa ra cho các lần khai thác riêng lẻ trên tŕnh duyệt Chrome hiện vẫn "thấp hơn so với thị trường".
Giám đốc nghiên cứu của Crowdfense, ông Paolo Stagno, cho rằng, sự phức tạp ngày càng tăng trong việc khai thác các lỗ hổng khiến một chuyên gia nghiên cứu gần như không thể t́m ra và phát triển các lỗ hổng Zero-day cho iPhone hoặc điện thoại Android. Thay vào đó, việc này giờ đây đ̣i hỏi một nhóm nhiều chuyên gia nghiên cứu, do vậy đă đẩy mức giá lên cao.
Thực tế, các công ty như Google, Apple, Microsoft vẫn tổ chức những cuộc thi hàng năm dành cho hacker để t́m ra các vấn đề về bảo mật trên nền tảng và sản phẩm của họ. Tuy nhiên, họ thường trả thưởng ít hơn so với mức phí mà Crowdfense đưa ra. Ví dụ, Apple chỉ trả tối đa 2 triệu USD cho các chuyên gia nghiên cứu t́m được lỗi trên các sản phẩm của hăng.
VietBF@ Sưu tập