漏洞收购平台悬赏50万美元征集WhatsApp漏洞
Mashable中文站 8月24日报道
你的隐私值多少钱?499999美元够不够?因为再加一美元,你的隐私就会被卖出去了。
总部位于华盛顿的漏洞收购平台Zerodium将目光投向了目前在美国最受欢迎的安全移动消息平台Signal和WhatsApp,为这两个平台的有效安全漏洞开出50万美元的奖金。
该公司在8月23日宣布,任何人只要能够提供允许在这两个社交平台上远程执行代码和提升本地权限的工具,就可以拿到50万美元的赏金。基本上,这家公司就是在悬赏搜求能够在用户不知情的情况下进入用户设备的黑客工具。
该公司在其网站上解释说:“Zerodium向安全研究人员支付高额奖金和奖励,以获得他们掌握的第一手、以前从未报告过的研究成果,这些成果主要是影响到各大操作系统、软件、设备的零日漏洞。虽然大多数现有的捉虫赏金计划都接受几乎所有类型的漏洞和概念证据,但支付的奖金都非常低。在Zerodium,我们关注的是高危漏洞和能够有效使用的漏洞工具,我们支付的奖金是市场上最高的。”
从本质上讲,如果你能为这家公司提供一种能够有效使用的工具,它会非常乐于掏钱购买的。
重要的是,该公司想要的破解能力不仅仅针对Signal和WhatsApp,它还为iPhone远程越狱工具开出了150万美元的赏金。实际上,它愿意为这些应用工具开出如此之高的价码本身就说明了这些漏洞利用工具对Zerodium背后的神秘客户的重要性。
到底谁是Zerodium背后的客户?这家公司当然没有且不会透露,但是我们或许可以从它的网站上找到一点蜘丝马迹。
它在其网站上写道:“Zerodium的客户是国防、技术和金融等领域需要先进的零日保护解决方案的大公司以及需要特定和量身定制的网络安全解决方案的政府组织。”
撇开这些不谈,其他的零日漏洞经纪商也一直是被指控的对象,他们经常被指控利用“零日漏洞”来攻击持不同政见者和新闻记者。值得注意的是,NSO Group在2016年利用iPhone漏洞追踪了阿拉伯联合酋长国的一名人权主义积极分子。
那么,这对你来说意味着什么?与自觉相反,它可能被视为一个好消息。实际上,寻求Signal和WhatsApp的零日漏洞的信息被Zerodium放到了各种漏洞和漏洞利用工具悬赏清单的最顶层,这说明它现在急切地想要买到这种漏洞,但同时也说明至少目前它还没有获得这种漏洞。
当然,这只是推测。但是即使Zerodium最终能够很快买到这些零日漏洞,除非你是一个很有价值的攻击目标,否则也不用过份担心,因为没有人会花费大量的金钱去窃取你的隐私信息,而且他这样做的同时还要冒着漏洞被发现或修复的风险。
不管怎样,请时刻保证你的所有应用程序都升级到最新版本。虽然从定义的角度来说,升级并不能保证你不会受到零日攻击的影响,但是这样做仍然是保护你的设备免受攻击的最好方法之一。
请珍惜你的隐私,这显然是一种昂贵的奢侈品。(编译/林靖东)
美国Mashable作品的中文相关权益归腾讯公司独家所有。未经授权,不得转载、摘编等。