La industria de la compra y venta de vulnerabilidades de día cero ha dado un giro al sistema operativo Android, ofreciendo pagos de hasta 2.5 millones de dólares a los piratas informáticos que vendan las vulnerabilidades de cadena completa, día cero, con persistencia o clic cero. Esto resultaría en buenas noticias para los hackers y cazadores de vulnerabilidades, pero pésimas para Google.
Al igual que otros mercados tradicionales, el mercado de día cero también es un juego de oferta, demanda y estrategia, lo que sugiere que la demanda de Android de 0-Day ha aumentado de forma significativa o de alguna manera el sistema operativo Android es cada vez más difícil de piratear de forma remota, lo que es poco probable.
En su última notificación, Zerodium, una startup que compra exploits de día cero a los hackers, para luego venderlos a las agencias de aplicación de la ley y espías patrocinados, dijo que está buscando piratas informáticos que puedan desarrollar exploits para Android de cadena completa.
La compañía ofrece hasta 2.5 millones de dólares por dichos exploits que pueden utilizarse para obtener acceso de persistencia en un dispositivo Android sin consentimiento e interacción del usuario, siendo un aumento de 12 veces su valor anterior, de 200 mil dólares.
Aunque el mismo tipo de exploits de día cero para dispositivos iOS tiene un valor de 2 millones de dólares, que sigue siendo el doble de lo que Apple ha comenzado a ofrecer recientemente a los piratas informáticos para informar responsablemente sobre las explotaciones, descrito como «una vulnerabilidad de ejecución de código de kernel de clic cero que permite control completo y persistente del núcleo de un dispositivo».
Además de las vulnerabilidades de Android, Zerodium también anunció que ofrecerá 500 mil dólares por enviar nuevas vulnerabilidades o técnicas de persistencia para iOS, y un aumento en los pagos de las vulnerabilidades de WhatsApp e iMessage.
