50萬美元收購加密通訊類APP漏洞，真值！

「安全漏洞軍火商」Zerodium剛剛宣布了對加密通訊類軟體的0day漏洞提出了新的定價結構。獎金高達50萬美元。

針對加密通訊類軟體最高獎金50萬美元

Zerodium指出，如能在通訊類APP中，如WhatsApp、Signal、Facebook Messenger、iMessage、Telegram等挖到遠程代碼執行和本地許可權提升類0day漏洞則可獲得50萬美元的獎勵。

加密通訊類軟體已成為執法部門、各國政府和對隱私比較敏感的用戶的焦點。

去年當FBI堅持讓蘋果公司協助打開一名恐怖分子的iPhone時，這些APP受到的關注達到頂峰。最終以FBI尋求以色列一家公司的協助收場。

Zerodium是由VUPEN的前聯合創始人Chaouki Bekrar創立的，它的主要業務是收購0day漏洞，並連同漏洞利用代碼和漏洞修復方法出售給客戶。Zerodium並不會與受影響廠商共享漏洞信息及利用代碼，因此這些漏洞仍然處於未修復狀態，很顯然這並非軟體公司所希望看到的結果。與此同時，Bekrar一直都稱Zerodium和此前的VUPEN只跟民主和非受制裁的政府交易。

獎金主要針對移動平台

這次的價格調整主要針對的是移動平台。此外，如研究人員在默認的移動郵件APP中找到遠程代碼執行漏洞和本地許可權提升漏洞，則可獲得50萬美元的獎勵；如在基帶和媒體文件、文檔中挖到RCE和LPE漏洞則可獲得15萬美元的獎勵；如發現沙箱逃逸、代碼簽名繞過、內核LPE、WiFi RCE和LPE以及SS7攻擊，則可獲得10萬美元的獎勵。

Bekrar指出，Zerodium的政府客戶有獲得這些0day漏洞利用代碼的需求，通過這些加密通訊類軟體追蹤犯罪分子。Bekrar支出，這類APP漏洞的高價值源於客戶的高需求以及這些APP較窄的攻擊面，因此對於發現並利用這些高危漏洞的安全研究人員來說非常具有挑戰性。

Signal創始人Moxie Marlinspike以及WhatsApp和Facebook公司尚未就此事置評。

其它獎金類別

Zerodium還宣布稱為Windows 10遠程代碼執行0day漏洞提供30萬美元的獎勵，尤其是針對Windows默認服務如SMB或RDP的遠程利用。Web伺服器漏洞，如Linux下的Apache，Windows下的IIS的遠程代碼執行漏洞價值15萬美元。微軟Outlook RCE價值10萬美元。Mozilla Thunderbird RCE和VMware ESXi guest-to-host逃逸均值8萬美元。

Zerodium還把Chrome、PHP和OpenSSL攻擊的獎金翻了一番或將近翻了一番；而針對Linux和Windows的Tor RCE的獎金則分別從3萬美元漲至10萬美元和8萬美元。

最近，Zerodium150萬美元收購iOS 10遠程越獄漏洞，此前其收購iOS 9 0day漏洞的價格是100萬美元。

推薦閱讀：