獎金100萬美元！漏洞收購平台Zerodium啟動Tor瀏覽器漏洞懸賞計劃

E安全9月15日訊 企業和政府機構通過漏洞懸賞計劃尋找產品和軟體中存在的漏洞，包括0Day漏洞，以防被網路犯罪分子利用造成大規模損害。

100萬美元漏洞懸賞生切「洋蔥」

美國信息安全公司、漏洞交易平台Zerodium本周三發布針對Tor瀏覽器的0Day漏洞懸賞計劃，懸賞金額總額高達100萬美元（約合人民幣655萬元），其目的是讓黑客和網路安全研究人員尋找Tails Linux和Windows操作系統Tor瀏覽器中存在的0Day漏洞。

提交的必須是獨有、未知、未發布、未報告的0Day漏洞，且必須繞過所有適用於各類目標分類的漏洞利用緩解方案。

初始的攻擊途徑必須是針對最新版Tor瀏覽器的網頁，整個利用過程應當秘密實現，無需觸發任何信息或彈出窗口，除訪問網頁之外無需用戶交互。Zerodium公司要求研究人員們提供能夠誘導目標用戶訪問特定網頁的漏洞。

提交JavaScript漏洞利用雖然符合條件，但在JavaScript屏蔽條件下可實現Tor瀏覽器入侵的全功能的0Day漏洞利用賞金將更高。

下表為該公司開出的完整漏洞賞金信息：

能夠實現遠程代碼執行以及本地許可權升級的漏洞將可獲得高達25萬美元獎金，但前提是需要能夠在Windows 10及Tails 3.x系統上禁用JavaScript的Tor瀏覽器中起效。如果研究人員發現的漏洞只能夠在其中某一操作系統上起效，仍可拿到20萬美元獎金。

僅適用於單一操作系統的安全漏洞可換得20萬美元獎金。而在禁用JavaScript的條件下，單純遠程代碼執行漏洞（不包含許可權提升功能）的相關信息則可獲得18.5萬美元。另外，在啟用JavaScript時方可起效的漏洞若可同時實現遠程代碼執行與許可權提升能力，也能夠獲得12.5萬美獎金; 若單純可實現代碼執行，則獎金為8.5萬美元。

被發現的漏洞將出售給政府執法機構

Zerodium在其官方公告不會與Tor共享這些0Day漏洞，因為啟動這類特殊計劃的唯一目的是幫助政府客戶打擊犯罪，構建更加美好、安全的社會。這些漏洞同時也可能出售給向政府機構出售監控軟體的商業惡意軟體開發公司。

Zerodium指出，雖然Tor網路和Tor瀏覽器是相當出色的項目，允許合法用戶改進互聯網隱私與安全，但在許多情況下惡意分子利用Tor網路和瀏覽器從事販毒等非法活動。

這項計劃的截止時間為今年2017年11月30日東部夏季時間下午6點，如果賞金支付總額在這個截止時間之前提前達到100萬美元，該漏洞賞金計劃也將提前結束。

Zerodium還有哪些懸賞計劃值得關注？

Zerodium過去幾年一直在執行漏洞懸賞計劃。今年8月，該公司啟動入侵Messenger 應用程序的計劃，涉及的對象包括Telegram、微信、iMessage、WhatsApp、Signal和Facebook Messenger。

Zerodium還曾邀請黑客尋找iPhone中的0Day漏洞，並遠程入侵設備，提供150萬美元（約合人民幣982萬元）作為賞金。此外，Windows 10、Chrome、Firefox、WordPress等也是黑客施展才能的平台。

由於Zerodium建議與政府共享這些漏洞利用，因此隱私倡導者的反應相當重要，幾個月前，微軟曾抨擊美國政府機構不與廠商共享漏洞、囤積漏洞的行為。

Tor網路今年7月也推出了首個公開漏洞懸賞計劃，但最高懸賞金只有4000美元。

詳細要求見，https://zerodium.com/tor.html

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！