När sårbarheter blir hårdvaluta – Analys av exploit-priser för olika plattformar

Olika typer av exploits och deras prisnivåer

Advance Security Solutions listar ett brett spektrum av plattformar och applikationer där de söker sårbarheter. Belöningarna varierar från tiotusentals dollar till mångmiljonbelopp.

• Mobiltelefoner (iOS och Android): De mest värdefulla exploiten rör mobiltelefoner. En zero-click-sårbarhet i iOS eller Android betingar omkring 15 miljoner dollar för en komplett exploitkedja. Om sårbarheten fungerar via SMS eller MMS kan belöningen nå 20 miljoner. Även kedjor via mobilwebbläsare som Safari eller Chrome ligger högt, runt 5 miljoner.
• Stationära operativsystem: En komplett fjärrexploatering av Windows kan inbringa cirka 10 miljoner dollar. Linux ligger på samma nivå medan macOS värderas något lägre till cirka 7 miljoner. Mindre steg, exempelvis lokal privilegieeskalering, betalas ofta runt 100 000 dollar eller mindre.
• Webbläsare: En full chain i Chrome, Edge eller Tor Browser värderas till omkring 1 miljon dollar. Safari ligger på samma nivå medan Firefox ligger lägre, runt 500 000 dollar.
• Krypterade meddelandeappar: WhatsApp, Signal och Telegram värderas högt, ofta runt 2 miljoner dollar för fjärrkodsexekvering. Andra aktörer har betalat upp till 8 miljoner för förstklassiga exploits. Chatt-appen Threema värderas till cirka 1 miljon.
• Företagssystem och nätverksutrustning: Exploits mot Exchange, Oracle eller liknande betalas ofta i nivån 250 000 dollar eller mer. VPN och brandväggsprodukter från Cisco, Fortinet och SonicWall kan nå samma nivå. Mindre enheter som routers eller NAS ligger runt 20 000–50 000.
• Övriga programvaror: Zero-click sårbarheter i Microsoft Office kan ge 1 miljon dollar, medan enklare kodexekveringsbuggar i Office ligger runt 250 000. Adobe Acrobat Reader kan ge 500 000 och antivirus eller EDR-produkter upp till 200 000.

Vem köper och säljer?

Säljare är ofta säkerhetsforskare som upptäckt en ny sårbarhet. I stället för att rapportera den via bug bounty-program kan de sälja till en broker som företaget Advance Security Solutions. Dessa agerar mellanhand och säljer vidare exklusivt till statliga aktörer (uppger de själva). Köparna är underrättelsetjänster, polis och militära cyberenheter som använder exploits för spionage, brottsbekämpning eller cyberoperationer.

Det finns tre huvudsakliga marknader:

• Vit marknad: Officiella bug bounty-program. Beloppen är låga i jämförelse, ofta 5 000–20 000 dollar. Apple erbjuder i vissa fall upp till 2 miljoner.
• Grå marknad: Exploits säljs under sekretess men lagligt till stater via mellanhänder. Här är priserna tiotals till hundratals gånger högre än i bug bounty-programmen.
• Svart marknad: Olaglig handel med exploits, ofta på darknet. Här är köpare och säljare anonyma och priserna kan vara ännu högre än i grå marknaden. Används för ransomware-attacker exempelvis.

Varför är priserna så höga?

Priserna drivs upp av flera faktorer:

• Exklusivitet: En exploit som säljs till en enda köpare kan användas längre och ger högre avkastning.
• Teknisk svårighetsgrad: Desto svårare en kedja är att ta fram, desto högre blir priset. Bara ett fåtal forskare kan skapa avancerade kedjor för moderna mobiler.
• Målens spridning: Exploits mot system med stor användarbas, som iOS, Android eller WhatsApp, är mer värdefulla än de mot nischade system.
• Efterfrågan: Fler länder och aktörer deltar i kapprustningen, vilket skapar en budgivning som pressar upp priserna.

Ett intressant skifte är att iPhone-exploits har blivit mindre värda än Android-exploits. Detta beror troligtvis på att Apple patchar snabbare och har fler bug bounty-rapporter, medan Android har blivit tekniskt svårare att hacka. Detta visar tydligt att ju högre den tekniska ribban höjs desto mer pengar betalas för att hitta nya sätt att kringgå skydden.