Китайские IT-компании обратились к российским коллегам по информационной безопасности с целью заполучения «дырок» операционных систем iOS и Android.
Заказчиком выступили представители ассоциации ShenZhen Computer Users Association (SZCUA), в состав которой входят крупные китайские IT-компании Kingdee International Software Group и China Greatwall Computer Shenzhen Co.
К российским компаниям обратился якобы представитель ассоциации SZCUA Роберт Невский. Он высказал желание купить эксплойты, использующие «уязвимости нулевого дня», с целью дальнейшего использования их в различном ПО.
Выплату за них в $100 тыс. (не конечная стоимость) предполагается провести в 3 этапа: «после получения и соответствующей проверки и третий — по истечении двух-трех месяцев, чтобы убедиться, что эксплойт не был обнародован».
На вопросы, действительно ли Невский является представителем ShenZhen Computer Users Association, в компании не ответили. Поэтому точно неизвестно, для каких целей требуются 0day уязвимости: они могут пригодиться как госорганам, так и направиться на перепродажу на «чёрном рынке». [КоммерсантЪ]
Надо понимать, что легального рынка 0day не существует. Все имеющиеся на западном рынке покупатели эксплойтов, а именно брокеры или продавцы шпионского ПО, обладают крайне сомнительной репутацией, поскольку занимаются темными делами на грани между преступностью и спецслужбами. – ведущий исследователь отдела аудита защищенности Digital Security Сергей Белов
2 комментария