漏洞收購平臺懸賞50萬美元征集WhatsApp漏洞

Mashable 中文站 8 月 24 日報道

你的隱私值多少錢？499999 美元夠不夠？因為再加一美元，你的隱私就會被賣出去了。

總部位于華盛頓的漏洞收購平臺 Zerodium 將目光投向了目前在美國最受歡迎的安全移動消息平臺 Signal 和 WhatsApp，為這兩個平臺的有效安全漏洞開出 50 萬美元的獎金。

該公司在 8 月 23 日宣布，任何人只要能夠提供允許在這兩個社交平臺上遠程執行代碼和提升本地權限的工具，就可以拿到 50 萬美元的賞金。基本上，這家公司就是在懸賞搜求能夠在用戶不知情的情況下進入用戶設備的黑客工具。

該公司在其網站上解釋說：“Zerodium 向安全研究人員支付高額獎金和獎勵，以獲得他們掌握的第一手、以前從未報告過的研究成果，這些成果主要是影響到各大操作系統、軟件、設備的零日漏洞。雖然大多數現有的捉蟲賞金計劃都接受幾乎所有類型的漏洞和概念證據，但支付的獎金都非常低。在 Zerodium，我們關注的是高危漏洞和能夠有效使用的漏洞工具，我們支付的獎金是市場上最高的。”

從本質上講，如果你能為這家公司提供一種能夠有效使用的工具，它會非常樂于掏錢購買的。

重要的是，該公司想要的破解能力不僅僅針對 Signal 和 WhatsApp，它還為 iPhone 遠程越獄工具開出了 150 萬美元的賞金。實際上，它愿意為這些應用工具開出如此之高的價碼本身就說明了這些漏洞利用工具對 Zerodium 背后的神秘客戶的重要性。

到底誰是 Zerodium 背后的客戶？這家公司當然沒有且不會透露，但是我們或許可以從它的網站上找到一點蜘絲馬跡。

它在其網站上寫道：“Zerodium 的客戶是國防、技術和金融等領域需要先進的零日保護解決方案的大公司以及需要特定和量身定制的網絡安全解決方案的政府組織。”

撇開這些不談，其他的零日漏洞經紀商也一直是被指控的對象，他們經常被指控利用“零日漏洞”來攻擊持不同政見者和新聞記者。值得注意的是，NSO Group 在 2016 年利用 iPhone 漏洞追蹤了阿拉伯聯合酋長國的一名人權主義積極分子。

那么，這對你來說意味著什么？與自覺相反，它可能被視為一個好消息。實際上，尋求 Signal 和 WhatsApp 的零日漏洞的信息被 Zerodium 放到了各種漏洞和漏洞利用工具懸賞清單的最頂層，這說明它現在急切地想要買到這種漏洞，但同時也說明至少目前它還沒有獲得這種漏洞。

當然，這只是推測。但是即使 Zerodium 最終能夠很快買到這些零日漏洞，除非你是一個很有價值的攻擊目標，否則也不用過份擔心，因為沒有人會花費大量的金錢去竊取你的隱私信息，而且他這樣做的同時還要冒著漏洞被發現或修復的風險。

不管怎樣，請時刻保證你的所有應用程序都升級到最新版本。雖然從定義的角度來說，升級并不能保證你不會受到零日攻擊的影響，但是這樣做仍然是保護你的設備免受攻擊的最好方法之一。

請珍惜你的隱私，這顯然是一種昂貴的奢侈品。

來自: 騰訊科技