A Crowdfense, empresa especializada na aquisição de exploits, anunciou a disposição de desembolsar um total de US$ 30 milhões por códigos maliciosos que explorem vulnerabilidades zero-day, com foco nos sistemas operacionais móveis Android e iOS, além dos navegadores internet Chrome e Safari.
Criada em 2017, a Crowdfense se define como um centro de pesquisa e uma plataforma de aquisição de explorações zero-day de alto nível e pesquisa avançada em vulnerabilidades.
Em 2019, a companhia divulgou um programa de aquisição de exploits voltados para vulnerabilidades zero-day tanto no Android quanto no iOS, propondo remunerações que chegavam a até US$ 3 milhões por explorações completas de cadeias inéditas.
Neste ano, a premiação aumentou significativamente no âmbito do programa, com recompensas de até US$ 9 milhões para explorações de cadeias completas sem a necessidade de cliques, transmitidas via SMS ou MMS.
Pesquisadores que apresentarem explorações de cadeias completas sem cliques para Android podem receber até US$ 5 milhões.
Já aqueles que descobrirem vulnerabilidades zero-day similares em iOS podem ser agraciados com até US$ 7 milhões por suas descobertas, conforme informado pela Crowdfense.
Exploitações que permitam a execução remota de código e a fuga de sandbox no iOS podem levar pesquisadores a faturar até US$ 3,5 milhões.
Dentre outros destaques, a Apple lançou patches para corrigir quatro vulnerabilidades que afetam iOS e iPadOS.
A Crowdfense está disposta a oferecer entre US$ 2 milhões e US$ 3 milhões por explorações do Chrome que resultem em execução remota de código e elevação de privilégios locais.
Para explorações semelhantes direcionadas ao Safari, os valores vão de US$ 2,5 milhões a US$ 3,5 milhões.
A empresa também oferece quantias significativas, que alcançam as centenas de milhares de dólares, por explorações de escape de sandbox menos impactantes direcionadas ao Chrome e Safari.
De acordo com a empresa, somente explorações zero-day completamente funcionais e de alta qualidade serão consideradas para o programa.
"As remunerações para funcionalidades exclusivas de cadeias completas ou não reportadas anteriormente variam de US$ 10 mil a US$ 9 milhões por cada envio bem-sucedido.
As cadeias parciais serão examinadas individualmente e terão seu valor estipulado proporcionalmente", anunciou a Crowdfense.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...