Tor瀏覽器的0day利用現在似乎很搶手,有人願意出價100萬美元
專門購買轉售0day漏洞的公司Zerodium剛剛宣佈將願意為Tails Linux和Windows作業系統上的流行Tor瀏覽器可用0day漏洞最高出價100萬美元。
Tor瀏覽器使用者要注意了,尤其是使用Tails OS作為保護隱私方式的使用者。
另外,Zerodium公佈了一些規則和價格詳情,宣佈稱對未啟用JavaScript的Tor利用的價格將是啟用了JavaScript的Tor利用價格的兩倍。
Zerodium還明確提出,利用必須是遠端程式碼執行漏洞,初始攻擊向量是一個網頁,而且它應該適用於最新版本的Tor瀏覽器。此外,這個0day利用的運作除了受害者訪問網頁之外,必須無需使用者其他互動。
其它攻擊向量如經由惡意文件傳播並不適用於這次獎勵計劃,但Zerodium可能會酌情專設價碼。
Zerodium將向執法機構出售Tor瀏覽器0day漏洞
儘管0day漏洞市場一直以來都吸引著比大型技術公司出價更高的私營企業的參與,但Zerodium表示想要將Tor瀏覽器利用轉售給執法部門打擊犯罪活動。
在一個提問環節,Zerodium公司證實稱將會把所購買的Tor 0day漏洞出售給執法部門,而且可能也會出售給商業惡意軟體開發公司,後者向政府機構出售監控軟體。
Zerodium表示,“在很多情況下,惡意人員使用Tor開展走私毒品或虐待兒童等犯罪活動。我們推出這個特別的Tor瀏覽器0day漏洞獎勵計劃就是為了幫助我們的政府打擊犯罪活動,讓世界變得更美好更安全。”
Tor專案組回應稱,破壞其匿名軟體的安全會為很多使用者的生命帶來風險,包括人權衛士、活動家、律師和研究人員等。這個非營利性基金會同時敦促研究人員和黑客負責任地通過其最近推出的漏洞獎勵計劃披露漏洞。
Tor專案組指出,“我們認為獎勵金額是對我們所提供的安全性的證明。我們認為,通過我們自己的漏洞獎勵計劃披露所有漏洞這一做法符合包括政府機構在內的所有Tor使用者的最佳利益。每天,150多萬人依靠Tor來保證網路隱私安全,而且對於某些人來說,這是生與死的問題。參與Zerodium的計劃會讓風險最大的使用者受到生命威脅。”
Tor 瀏覽器 0day RCE利用價目表
Zerodium為Tor瀏覽器利用提出的價格如下:
感興趣的人員可在2017年11月30日東部夏季時間下午6點前提交利用。Zerodium還指出,如果支付給研究人員的總款項提前達到100萬美元,那麼獎勵計劃可能會在有效期結束前終止。