Una società che acquisisce e vende exploit zero-day, difetti del software sconosciuti allo sviluppatore interessato, sta ora offrendo fino a $20 milioni per strumenti di hacking che permetterebbero ai suoi clienti di hackerare dispositivi iPhone e Android. Operation Zero, con sede in Russia, ha annunciato che sta aumentando i pagamenti per gli zero-day su queste piattaforme di dieci volte, da $200.000 a $20 milioni. La società ha dichiarato che i suoi clienti sono solo organizzazioni private e governative russe e che vende solo a paesi non NATO. Il CEO di Operation Zero, Sergey Zelenyuk, ha rifiutato di spiegare perché vendono solo a paesi non NATO, affermando che non ci sono ragioni oltre a quelle ovvie. Ha anche detto che le ricompense offerte ora da Operation Zero potrebbero essere temporanee, riflettendo un particolare momento di mercato e la difficoltà di hackerare iOS e Android.
Altre società in tutto il mondo offrono ricompense per la vendita di bug e tecniche di hacking. A differenza delle tradizionali piattaforme di bug bounty come Hacker One o Bugcrowd, aziende come Operation Zero non avvisano i fornitori i cui prodotti sono vulnerabili, ma invece li vendono a clienti governativi. Questo è un mercato grigio, dove i prezzi fluttuano e l’identità dei clienti è spesso segreta. Zerodium, un’azienda lanciata nel 2015, offre fino a $2,5 milioni per una catena di bug che permette ai clienti di hackerare un dispositivo Android senza interazione da parte del bersaglio. Crowdfense, un concorrente con sede negli Emirati Arabi Uniti, offre fino a $3 milioni per lo stesso tipo di catena di bug su Android e iOS.
Il mercato degli zero-day è in gran parte non regolamentato, ma in alcuni paesi, le aziende possono dover ottenere licenze di esportazione dai governi da cui operano. Questo processo essenzialmente comporta chiedere il permesso di vendere a certi paesi, che possono essere limitati. Ad esempio, una legge recentemente approvata in Cina impone ai ricercatori di sicurezza di avvisare il governo cinese dei bug prima di avvisare i produttori di software. Questa legge, secondo gli esperti, significa effettivamente che la Cina sta cercando di monopolizzare il mercato degli zero-day per usarli a scopi di intelligence.
