 |
| Zero-Day |
Android için bulunan zafiyetlerin ödemeleri arttırıldı!
Global yapıdaki kullanımlarından ötürü işletim sistemlerinde bulunan güvenlik açıkları, seviyelerine göre verilen ücretler ile araştırmacıları cezbediyor. Exploit alım-satım işleriyle faaliyet gösteren Zerodium adlı firmanın, geçtiğimiz Salı günü raporuna göre Zafiyet bulunan bir Android araştırması için 2.5 milyon dolar ile alım yapmaya hazır olduklarını belirtiyor. Android üzerinde keşfedilenZero-Day olarak adlandırılan Açık(Public) olmayan zaafiyetler için yüklü miktarda ödeme planlamaktadır. Şirketin daha önceki ödeme plananına bakacak olursak 2 milyon dolar artış söz konusu.
 |
| Android Zero-Day |
Iphone üzerinde bulunan zaafiyetler için verilen ödül miktarını geride bırakan Android, geliştirme ve kullanım istatistikleri ile zaafiyet piyasasında en üstte yerini almaktadır. Zerodium gibi şirketlerin alım-satım planlamalarına bakarsak, Bir Android zaafiyeti için verilen ücret kıyasla Iphone için verilen ücretin daha fazlasına tekabul ediyor. Bu şekilde Google ve diğer android geliştirici pazarı güvenlik için sıkı bir takibe sürüklenmektedir. Zerodium ayrıca diğer Iphone zafiyet ödemelerini düşürerek Android piyasasına yön vermektedir. Daha önceki planlamasına bakarsak 1 milyon dolarlık bir düşüş söz konusu.
Zerodium ayrıca WhatsApp gibi popüler mesajlaşma uygulamaları için RCE + LPE gibi zafiyetler için verilen ücreti 1 milyon dolardan 1.5 milyon dolara çıkardı.
Tüm bu planlama ile zafiyet başına 2000 ile 2.5 milyon dolar arasında bir ücret verildiğini görebiliriz.
Aşağıdaki grafiği inceler isek Zerodium'un belirlemiş olduğu uygulamalar üzerinde istenilen zafiyetin tespiti için verilecek olan ücret grafiğini görebiliriz.
 |
| Zerodium Zero-Day |
Kesin ödül miktarı etkilenen yazılımın, kullanılan sistemin popülaritesi ve güvenlik seviyesinin yanı sıra, Sunulan istismarın kalitesine, sistem mimarileri, güvenilirlik vs bulguların raporlanmasına bağlı olarak değişkenlik gösterilmektedir.
Ayrıca Zerodium en güncel siber güvenlik araştırması ve yeteneklerini sağlamak için birlikte çalışan yetenekli ve aynı zamanda bağımsız bir güvenlik araştırması, siber topluluk kurmak için çalışıyor.
0 Yorumlar