Zerodium(ZDI)出价100万美元悬赏Tor浏览器0-day
Zerodium(ZDI)出价100万美元悬赏Tor浏览器0-day
原创翻译。
看来有人迫切需要Tor浏览器的0-day啊,以至于他愿意出100万美元悬赏。
Zerodium是一家专门从事买卖0-day的公司,他们刚刚宣布他们愿意出价100万美元收购可以用于攻击Tails Linux系统和Windows操作系统上Tor浏览器的0-day。
Tor浏览器的用户,尤其是使用Tails操作系统来保护自己隐私的人们,这下可该提高警惕了。
ZDI在自己网站上发布了一些规则和支付细节,其中包括一条,就是如果能够成功利用禁用了Javascript的Tor浏览器的话,奖金会比启用了Javascript的EXP翻一倍。
ZDI清楚的提到,这个EXP必须能够做到远程命令执行,初始攻击向量应该是一个网页,并且EXP应当能够攻击最新版本的Tor浏览器。还有就是,这个Tor的0-day EXP必须让被攻击者“看一眼就怀孕”,不用任何交互。
其他攻击方式,例如发一个恶意文档让用户中招,这种不适用与这次悬赏。但是ZDI说,或许愿意对这种EXP的悬赏另当别论。
尽管一直以来,0-day市场一直是一个赚钱的生意,因为私有企业愿意比大的科技公司出更高的价钱来购买没有被披露的漏洞。ZDI表示,他们想把这个Tor浏览器的0-day卖给执法机构用于打击犯罪。
在一次问答对话中,该公司承认他们将会把得到的Tor浏览器0-day卖给执法机构或者向政府出售间谍软件的商业恶意软件开发商。
ZDI说,“很多时候,Tor都是被丑陋的人用来进行毒品交易或者虐待儿童。我们发起这个项目,是为了帮助我们的政府客户更好的对抗犯罪,让这个世界更美好、更安全。”
Tor项目对ZDI的漏洞赏金项目回应说,破坏匿名软件的安全性可能会危及许多依赖Tor的用户的生命,包括人权卫士,活动家,律师和研究人员。这个非营利的项目同时还促请安全研究员和黑客们在他们最近发起的漏洞悬赏项目中负责人的提交Tor的漏洞。他们说:“超过1500000的人每天依赖Tor保护自己的在线隐私,对其中一些人来说,这是生与死的问题。参加ZDI的项目会将使我们最处于危险之中的用户的生命岌岌可危”。
下面是Tor 浏览器的0-day RCE EXP 悬赏价格(注:RCE是指远程命令执行,LPE是指本地权限提升):
截止日期是2017年9月30日 美国东部时间下午6:00。如果收0-day的总金额达到了100万美元,这个漏洞赏金项目可能会提前结束。
参考链接:
1.新闻原文地址:http://thehackernews.com/2017/09/tor-zero-day-exploits.html
2.Tor的漏洞赏金项目:http://thehackernews.com/2015/12/tor-project-bug-bounty.html
3.ZDI的漏洞赏金项目:https://zerodium.com/tor.html
关于作者
评论0次