Правительство США платит за уязвимости в iOS, Android и Windows для слежки

Уязвимости существуют практически в любой системе. Отдельные из них позволяют красть пароли или восстанавливать данные даже с отформатированного девайса, но этим список уязвимостей не ограничен. Обычно, при обнаружении той или иной бреши в системе, подается обращение в компанию с описанием проблемы, за что многие крупные бренды готовы так или иначе отблагодарить нашедшего слабое место. Однако есть и альтернативный вариант — продать информацию о бреши армии США.
Правительство США платит за уязвимости в iOS, Android и Windows для слежки

Аналитик Фонда электронных рубежей (EFF) — организация занимается защитой частной жизни граждан — Дэйв Маас (Dave Maass) обратил внимание на странное объявление на интернет-площадке госзакупок. Согласно его словам, армия США оставила объявление, из которого следует, что правительство хочет найти подрядчика для получения доступа к уязвимости систем, отчетам об ошибках и бреши кода, влияющие на работу широко распространенных систем и ПО. Основной интерес в госзаказе проявляют к продуктам таких разработчиков, как Microsoft, Apple, Adobe, EMC, Novell, IBM, Cisco Systems и Linksys. В объявлении также подчеркнут интерес к уязвимостям Android, Linux и Java, однако данным перечнем работа не ограничивается.

Подрядчик должен будет предоставлять правительству список доступных для эксплуатации «дыр» безопасности нулевого дня. На рассмотрение принимаются все найденные ошибки не старше полугода, а также отсутствующие в базе данных. Права на использование эксплойтов, согласно условиям сотрудничества, должны быть переданы американскому правительству. Вскоре после размещения Дэйвом Маасом ссылки на данный документ, объявление пропало с сайта.
Правительство США платит за уязвимости в iOS, Android и Windows для слежки

Специалисты EFF отмечают, что данные методы вызывают сомнение в вопросах обеспечения анонимности и заботы правительства США о сохранности данных пользователей, ведь такое поведение могло бы быть обоснованным, если целью указывалось направление данных уязвимостей компаниям и способствование их скорейшему закрытию. Вместо этого, они готовы выложить значительные суммы за возможность взлома систем в попытках организации слежки за пользователями.