شرکت روسی Operation Zero ، که برای خرید و فروش آسیب پذیری های نرم افزاری به مشتریان روسی کار می کند ، آماده است تا 5 میلیون دلار برای شاهکارهای خاص در Telegram Messenger بپردازد. این شرکت به دنبال راه هایی برای استفاده از کد RCE و بررسی مقادیر مختلف در مورد پیچیدگی و کارآیی عملکرد است.
عملیات صفر تا 5000 دلار در هر RCE با یک کلیک ، برای یک کلیک صفر ، حداکثر 1.5 میلیون دلار و برای زنجیره کامل عملیاتی با 5 میلیون دلار است. زنجیره ای کامل از عملکرد زمانی شکل می گیرد که در پایان ، چندین آسیب پذیری به هم پیوسته کنترل کامل دستگاه مهاجم را فراهم می کند. کلیک صفر با ارزش تر است. زیرا آنها بدون هیچ گونه تعامل کاربران کار می کنند.
این عملیات صفر برای نفوذ کامل و ابزارهای iOS یک جایزه 5 میلیون دلاری کسب کرده است. در حال حاضر ، این شرکت بالاترین جایزه را برای چنین ابزاری 1.5 میلیون دلار به شرکت می دهد. به گفته کارشناسان امنیتی در سالهای اخیر ، هزینه توضیحات روزانه افزایش یافته و برای سال واتس اپ به 5 میلیون دلار رسیده است.
به گفته منبع بازار عملیاتی ، که نمی خواستند منصوب شوند ، قیمت های اعلام شده به عنوان آسیب پذیری تلگرام نسبتاً کم است. از آنجا که شرکت ممکن است بخواهد این سوراخ ها را بعداً با قیمت بالاتر به سایر مشتریان بفروشد. همان منبع تأکید کرد که هیچ تضمینی برای پرداخت مبلغ اعلام شده وجود ندارد و پرداخت نهایی منوط به معیارهای داخلی شرکت است که به صورت عمومی منتشر نشده است.
تمایل به عملیات صفر به تلگرام به دلیل محبوبیت این فرستاده ها در روسیه و اوکراین است. درخواست همزمان برای بهره برداری از تلگرام با شرایط سیاسی فعلی باعث شده است که برخی از تحلیلگران فرض کنند که دولت روسیه مستقیماً به دنبال آسیب پذیری های این برنامه است و توجیه افزایش جوایز است.
مقالات مرتبط:
دولت اوکراین سال گذشته استفاده از تلگرام برای آژانس های رسمی را به دلایل امنیتی ممنوع اعلام کرد و آن را بستری برای جاسوسی احتمالی روسیه خواند. کارشناسان همچنین برای مدت طولانی از امنیت تلگرام انتقاد کرده اند. از آنجا که این برنامه از کل رمزگذاری انتهایی استفاده نمی کند ، و الگوریتم رمزگذاری آن استثنایی و نامشخص است. در نتیجه ، مکالمات خصوصی (به ویژه در گروه ها) می تواند برای سرورهای تلگرام قابل مشاهده باشد.
به گفته یکی دیگر از شرکت کنندگان آسیب پذیر روزانه در بازار ، قیمت های اعلام شده توسط عملیات صفر غیر منطقی نیستند. اما عواملی مانند برنامه های انحصاری و فروش مجدد می توانند بر میزان نهایی تأثیر بگذارند. طلایمدیرعامل عملیات صفر به درخواست های اظهار نظر پاسخ نداد.
آسیب پذیری روزانه به اشتباهی اشاره دارد که هنوز برای سازندگان نرم افزار شناخته نشده است ، و این باعث می شود تا شرکت هایی مانند Operation Zero و دولت ها جذاب باشند. در روش اجرای یک کد از راه دور (RCE) ، مهاجم می تواند بدون نیاز به دسترسی فیزیکی ، کنترل برنامه یا سیستم عامل را به دست بگیرد و گونه هایی که با صفر کلیک می کنند ، این عمل حتی به تأثیر کاربر احتیاج ندارند.
ساختار قیمت این عملیات فقط برای سوراخ های تلگرام اعمال می شود و مشخص نیست که آیا خریداران خارج از حلقه مشتری روسیه می توانند چنین معامله ای را نتیجه بگیرند.