Şirketler ürünlerini bilgisayar korsanlarına karşı güçlendirdikçe sıfır gün açıklarının fiyatı artıyor. Bir startup şimdi iPhone’ları, Android cihazları, WhatsApp’ı ve iMessage’ı hacklemeye yönelik araçlar için milyonlarca dolar teklif ediyor.
Startup Crowdfense, genellikle “sıfır gün” olarak bilinen bu hackleme araçları için güncellenmiş fiyat listesini yayınladı çünkü bu araçlar, yazılımın yapımcıları tarafından bilinmeyen yazılımdaki yamalanmamış güvenlik açıklarına dayanıyor. Crowdfense ve rakiplerinden biri olan Zerodium gibi şirketler, bu sıfır günleri, suçluları takip etmek veya casusluk yapmak için bilgisayar korsanlığı araçlarına ihtiyaç duyduklarını iddia eden, genellikle devlet kurumlarına veya devlet yüklenicilerine olmak üzere diğer kuruluşlara yeniden satmak amacıyla edindiklerini iddia ediyor.
Sıfır gün açıkları fiyatları
Crowdfense şu anda iPhone’lara izinsiz giriş için sıfır gün için 5 ila 7 milyon dolar, Android telefonlara izinsiz giriş için sıfır gün için 5 milyon dolara kadar, Chrome ve Safari sıfır günleri için sırasıyla 3 milyon dolar ve 3,5 milyon dolar ve 3 milyon dolar teklif ediyor. WhatsApp ve iMessage sıfır günleri için 5 milyon dolara kadar teklifler mevcut.
2019’da yayınlanan önceki fiyat listesinde , Crowdfense’in sunduğu en yüksek ödemeler Android ve iOS sıfır günler için 3 milyon dolardı. Fiyatlardaki artış, Apple, Google ve Microsoft gibi şirketlerin cihazlarını ve uygulamalarını hacklemeyi zorlaştırması nedeniyle ortaya çıkıyor. Bu da kullanıcıların daha iyi korunması anlamına geliyor.
Trend Micro ZDI’nın tehdit farkındalığı başkanı Dustin Childs: “Kullandığımız yazılım ve cihaz ne olursa olsun, bundan yararlanmak her geçen yıl daha zor olmalı” diyor. CrowdFense ve Zerodium’dan farklı olarak ZDI, araştırmacılara sıfır gün edinmeleri için ödeme yapıyor ve ardından bunları, güvenlik açıklarının düzeltilmesi amacıyla etkilenen şirketlere rapor ediyor.
Shane Huntley, “Google gibi tehdit istihbaratı ekipleri tarafından daha fazla sıfır gün güvenlik açığı keşfedildikçe ve platform korumaları gelişmeye devam ettikçe, saldırganların ihtiyaç duyduğu zaman ve çaba artıyor ve bu da bulgularının maliyetinin artmasına neden oluyor” dedi. Geçen ay yayınlanan bir raporda Google, bilgisayar korsanlarının 2023’te 97 sıfır gün güvenlik açığını kullandığını gördüğünü söyledi. Genellikle sıfır gün komisyoncularıyla çalışan casus yazılım satıcıları, Google ürünlerini ve Android’i hedef alan sıfır günlerin yüzde 75’inden sorumluydu.