最新的backtrack5(bt5)官方网站已经提供下载,backtrack5是基于ubuntu Lucid LTS. 内核2.6.38开发的,完全开源并和GPL兼容。

Backtrack 中文网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
查看: 454|回复: 0

50万美元收购加密通讯类APP漏洞,真值!

[复制链接]
宰父书双
管骏年

“安全漏洞军火商”Zerodium刚刚宣布了对加密通讯类软件的0day漏洞提出了新的定价结构。奖金高达50万美元。


针对加密通讯类软件最高奖金50万美元


Zerodium指出,如能在通讯类APP中,如WhatsApp、Signal、Facebook Messenger、iMessage、Telegram等挖到远程代码执行和本地权限提升类0day漏洞则可获得50万美元的奖励。

加密通讯类软件已成为执法部门、各国政府和对隐私比较敏感的用户的焦点。

去年当FBI坚持让苹果公司协助打开一名恐怖分子的iPhone时,这些APP受到的关注达到顶峰。最终以FBI寻求以色列一家公司的协助收场。

Zerodium是由VUPEN的前联合创始人Chaouki Bekrar创立的,它的主要业务是收购0day漏洞,并连同漏洞利用代码和漏洞修复方法出售给客户。Zerodium并不会与受影响厂商共享漏洞信息及利用代码,因此这些漏洞仍然处于未修复状态,很显然这并非软件公司所希望看到的结果。与此同时,Bekrar一直都称Zerodium和此前的VUPEN只跟民主和非受制裁的政府交易。


奖金主要针对移动平台


这次的价格调整主要针对的是移动平台。此外,如研究人员在默认的移动邮件APP中找到远程代码执行漏洞和本地权限提升漏洞,则可获得50万美元的奖励;如在基带和媒体文件、文档中挖到RCE和LPE漏洞则可获得15万美元的奖励;如发现沙箱逃逸、代码签名绕过、内核LPE、WiFi RCE和LPE以及SS7攻击,则可获得10万美元的奖励。

Bekrar指出,Zerodium的政府客户有获得这些0day漏洞利用代码的需求,通过这些加密通讯类软件追踪犯罪分子。Bekrar支出,这类APP漏洞的高价值源于客户的高需求以及这些APP较窄的攻击面,因此对于发现并利用这些高危漏洞的安全研究人员来说非常具有挑战性。

Signal创始人Moxie Marlinspike以及WhatsApp和Facebook公司尚未就此事置评。


其它奖金类别


Zerodium还宣布称为Windows 10远程代码执行0day漏洞提供30万美元的奖励,尤其是针对Windows默认服务如SMB或RDP的远程利用。Web服务器漏洞,如Linux下的Apache,Windows下的IIS的远程代码执行漏洞价值15万美元。微软Outlook RCE价值10万美元。Mozilla Thunderbird RCE和VMware ESXi guest-to-host逃逸均值8万美元。

Zerodium还把Chrome、PHP和OpenSSL攻击的奖金翻了一番或将近翻了一番;而针对Linux和Windows的Tor RCE的奖金则分别从3万美元涨至10万美元和8万美元。

最近,Zerodium150万美元收购iOS 10远程越狱漏洞,此前其收购iOS 9 0day漏洞的价格是100万美元。


参考来源:360代码卫士

+1
454°C
    沙发哦 ^ ^ 马上
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    BackTrack是一套专业的计算机安全检测的Linux操作系统,简称BT。BackTrack 是一个基于Ubuntu GNU/Linux的发行版本,主要用做数字取证和入侵测试。它的名字引用自回溯法(backtracking)。BackTrack 给用户提供了大量功能强大但简单易用的安全工具软件。BackTrack还支持Live CD和Live USB启动方式,用户可以直接从移动介质启动该系统而不用将系统安装在硬盘上。BackTrack被设计成一体化的旨在安全审计用的livecd,曾经它是被最广泛采用的渗透测试框架并被世界各地的安全社区所使用。现在,BackTrack已被Kali Linux所代替,BT将不再维护。
    快速回复 返回顶部 返回列表