Jak zostać milionerem? Wystarczy znaleźć exploit 0-day w przeglądarce Google Chrome

Jeśli regularnie korzystacie z Internetu, to z pewnością natknęliście się na reklamy kursów „od zera do milionera”. Tymczasem wizja szybkiego wzbogacenia się jest o wiele bardziej „realna”, niż się niektórym wydaje – wystarczy „jedynie” znaleźć krytyczną podatność w przeglądarce Google Chrome i przekazać ją brokerowi exploitów Zerodium:

Na śmiałków żądnych szybkiego zarobku czekają jednak pewne haczyki:

• Badacz bezpieczeństwa musi dostarczyć w pełni działający exploit, wspierający różne systemy/scenariusze wykorzystania błędu.
• W przypadku wzmiankowanego ogłoszenia od Zerodium exploit musi omijać zabezpieczenie typu sandbox, co w praktyce oznacza konieczność znalezienia przez badacza co najmniej dwóch (lub więcej) błędów bezpieczeństwa.
• Tak duża kwota (milion dolarów) jest wypłacana na raty. Jeśli exploit zostanie więc wykryty przed wypłaceniem wszystkich rat, to badacz nie otrzyma reszty wynagrodzenia za swoje znalezisko.

Do powyższych minusów możemy dodać również wątpliwą moralność tego typu firm, niejednokrotnie sprzedających bez rozgłosu exploity krajom takim jak Maroko czy Zjednoczone Emiraty Arabskie, które wykorzystują tego typu technologię do inwigilacji aktywistów, dziennikarzy i przeciwników politycznych.

~ Jakub Bielaszewski