Zerodium：Android 漏洞的利用價值首次超越了 iOS

Zerodium 是一家主營軟體漏洞採購，並將之向政府和執法機構轉售的企業。今天，該公司更新它的軟體漏洞價目表，顯示 Android 漏洞的利用價值，已首次反超 iOS 。從今天開始，Zerodium 將以 250 萬美元的高價，向駭客和安全研究人員收購無需使用者點選的 Android 零互動漏洞。作為對比，iOS 平臺上的類似漏洞，其價值僅為 200 萬美元。

一年前，Zerodium 僅給此類 Android 漏洞開出了 20 萬美元的報價，但現在已翻到 12 倍（相當於某些較小的 Android 漏洞的百倍價值）。

對於最新的 Android 10 移動作業系統，Zerodium 顯然也已經做好了相應的準備。對於谷歌發言人來說，這個時間當口確實有些尷尬，因此其選擇了不予回應。

即時通訊（IM）類漏洞的收購獎勵也水漲船高

與此同時，Zerodium 還宣佈增加對即時通訊客戶端漏洞的收購支出，且不論其執行在哪一個作業系統上。

即時未能實現重啟後的永續性，WhatsApp 或 iMessage 中的無使用者互動（零點選）、遠端程式碼執行（RCE）、以及本地許可權提升（LPE）漏洞的價值，現也高達 150 萬美元。

如需使用者互動介入，則其利用價值會降低至 100 萬（WhatsApp）和 50 萬（iMessage）美元。作為對比，去年這兩款 App 的漏洞收購價，最高也只有 50 萬美元。

Zerodium 還指出了近期的“市場趨勢”

該公司在官方 Twitter 賬戶上稱，近期的漏洞價格上調，迎合著最新的市場趨勢。這與 Zerodium CEO Chaouki Bekrar 在今年 3 月接受 ZDNet 採訪時的論調一致。

此前，該公司推出了基於雲技術的零日漏洞收購計劃。Bekrar 表示，Zerodium 客戶對利用鏈有著特定的要求，基於此，該公司會適當地增加漏洞提交的獎勵。

換言之，Zerodium 此番價格調整，意味著政府執法機構對獲取 Android 裝置的軟體漏洞，有了突然的興趣提升。

來源：cnBeta.COM

更多資訊

谷歌表示正在修復惡意日曆欺詐問題

據外媒報導，至少從今年 5 月開始，惡意人士就開始在未經允許的情況下向 Gmail 使用者發出了 Calendar（日曆）邀請。據瞭解，這個騙局利用了大多數人都會將自己的谷歌賬號設定為自動新增並通知他們日曆邀請這點，詐騙者在邀請中附帶的URL中植入了特洛伊木馬然後藉此讓使用者進入一個釣魚網站。

來源：cnBeta.COM
詳情連結：https://www.dbsec.cn/blog/article/5028.html 

工信部就“ZAO”App 網路資料安全問題開展問詢約談

據@工信微報訊息，9 月 3日，針對媒體公開報導和使用者曝光的“ZAO”App 使用者隱私協議不規範，存在資料洩露風險等網路資料安全問題，工業和資訊化部網路安全管理局對北京陌陌科技有限公司相關負責人進行了問詢約談，要求其嚴格按照國家法律法規以及相關主管部門要求，組織開展自查整改，依法依規收集使用使用者個人資訊，規範協議條款，強化網路資料和使用者個人資訊保安保護。

來源：TechWeb
詳情連結：https://www.dbsec.cn/blog/article/5029.html 

自動軟體每天打 2000 騷擾電話 人工智慧用這兒了？

“先生，最近還考慮買房嗎？”“女士，這邊有一款保險要了解一下嗎？”“您好，我們是XX教育培訓機構”……每一天，我們幾乎都會接到類似的騷擾電話。日前，工業和資訊化部資訊通訊管理局組織召開了綜合整治騷擾電話專項行動工作會，要求進一步加大騷擾電話源頭治理力度，騷擾電話綜合整治有望升級。

來源：北京日報
詳情連結：https://www.dbsec.cn/blog/article/5030.html 

遠端鎖電腦要求掃碼付百元贖金 東莞駭客獲刑六年半

電腦感染病毒後彈出微信收款二維碼，使用者被要求支付 110 元才能獲得解密密匙，該病毒共導致兩萬多臺電腦“中招”。3日，東莞市第三人民法院對國內首例要求微信支付贖金的勒索病毒案作出一審判決，判處病毒製造者、“95後”男子羅某有期徒刑六年六個月。

來源：羊城晚報
詳情連結：https://www.dbsec.cn/blog/article/5031.html 

（資訊來源於網路，安華金和蒐集整理）