Новый участник с Ближнего Востока — компания Advanced Security Solutions из Объединённых Арабских Эмиратов — привлёк внимание мирового сообщества, войдя в закрытый рынок уязвимостей с беспрецедентным предложением. Организация, стартовавшая в августе, готова платить до $20 миллионов за инструменты, позволяющие взламывать смартфоны с использованием уязвимостей нулевого дня (zero-day) — скрытых ошибок в ПО, о которых разработчики ещё не знают и которые не имеют исправлений.
Подобные технологии крайне востребованы в сфере разведки, киберопераций и работе спецслужб. На официальном сайте компании говорится о сотрудничестве с более чем 25 государственными структурами и силовыми ведомствами по всему миру. При этом никакой информации о владельцах, инвесторах и руководстве не раскрывается, как и о том, с какими именно государствами ведётся работа. Запросы СМИ также остались без комментариев.
Судя по опубликованным расценкам, предложения Advanced Security Solutions превышают цены конкурентов:
Такие суммы уже звучали на рынке ранее, но только от крупных и давно известных игроков. Например, Operation Zero ранее выставляла аналогичные ценники — $1,5 млн за так называемый 0-click RCE (эксплойт, не требующий действий пользователя) и $500 тыс. за 1-click RCE (уязвимость, активируемую при, например, открытии сообщения).
📈 Рост цен и рисков
Рынок уязвимостей развивается стремительно. В 2015 году компания Zerodium стала первой, кто публично озвучил расценки — до $1 млн за уязвимость в iPhone. В 2018 году Crowdfense предложила до $3 млн, а уже в 2024 — подняла планку до $7 млн за iOS и $5 млн за Android. За уязвимости в мессенджерах компания предложила $8 млн за WhatsApp и $4 млн за Telegram.
С ростом защищённости устройств увеличивается и стоимость успешных эксплойтов. Сегодня такие сделки превращаются в высокорисковые инвестиции, где удачная находка может стоить десятки миллионов долларов. Однако новые игроки вызывают вопросы: исследователи обеспокоены непрозрачностью структуры Advanced Security Solutions. По словам одного из источников на рынке, суммы выглядят реалистично, но работать с компанией, скрывающей свою идентичность и клиентов, он бы не стал.
Подобные технологии крайне востребованы в сфере разведки, киберопераций и работе спецслужб. На официальном сайте компании говорится о сотрудничестве с более чем 25 государственными структурами и силовыми ведомствами по всему миру. При этом никакой информации о владельцах, инвесторах и руководстве не раскрывается, как и о том, с какими именно государствами ведётся работа. Запросы СМИ также остались без комментариев.
Судя по опубликованным расценкам, предложения Advanced Security Solutions превышают цены конкурентов:
- $20 млн — за универсальный эксплойт, способный проникнуть в любую мобильную ОС
- $15 млн — за отдельные уязвимости в Android или iOS
- $10 млн — для платформы Windows
- $5 млн — за уязвимость в браузере Chrome
- $1 млн — за Safari или Microsoft Edge
- до $2 млн — за уязвимости в мессенджерах WhatsApp, Telegram и Signal
Такие суммы уже звучали на рынке ранее, но только от крупных и давно известных игроков. Например, Operation Zero ранее выставляла аналогичные ценники — $1,5 млн за так называемый 0-click RCE (эксплойт, не требующий действий пользователя) и $500 тыс. за 1-click RCE (уязвимость, активируемую при, например, открытии сообщения).
📈 Рост цен и рисков
Рынок уязвимостей развивается стремительно. В 2015 году компания Zerodium стала первой, кто публично озвучил расценки — до $1 млн за уязвимость в iPhone. В 2018 году Crowdfense предложила до $3 млн, а уже в 2024 — подняла планку до $7 млн за iOS и $5 млн за Android. За уязвимости в мессенджерах компания предложила $8 млн за WhatsApp и $4 млн за Telegram.
С ростом защищённости устройств увеличивается и стоимость успешных эксплойтов. Сегодня такие сделки превращаются в высокорисковые инвестиции, где удачная находка может стоить десятки миллионов долларов. Однако новые игроки вызывают вопросы: исследователи обеспокоены непрозрачностью структуры Advanced Security Solutions. По словам одного из источников на рынке, суммы выглядят реалистично, но работать с компанией, скрывающей свою идентичность и клиентов, он бы не стал.
