有人出价300万美元购买 iOS 和安卓 0day 漏洞
编译:360代码卫士团队
漏洞研究公司 Crowdfense 推出一个新的 0day 收购项目,承诺为完整链的 0day 漏洞提供最高300万美元的赏金。
Crowdfense 创立于2017年,“由全球最具才能的研究员评估与时俱进的主动性网络防御能力”,并在交付给“经过仔细挑选的全球机构客户群体”之前,对这些能力进行测试和改进。
去年,该公司运营了一项1000万美元的漏洞奖励计划,表示引入的高端技术培训让全球数百名漏洞研究员受益。
在此基础之上,该公司提升了该计划的总体价值并扩大了研究范围,如联网设备、WiFi/基带和通讯服务。
该公司表示,“完整链、此前未被报告的独有能力将获得10万到300万美元不等的奖励。部分链将具体问题具体分析,并酌情给出奖励。”
具体出价
该公司需求的 0day 利用包括 Chrome 和 Safari 浏览器中的远程代码执行缺陷、针对Windows 版本的 Chrome 的功能性利用代码最高价值150万美元,而针对 macOS 版本的 Safari 的利用最高价值50万美元。
该公司将为导致iOS 权限提升的 Safari 远程代码执行漏洞支付250万美元,或者为无需用户交互、只要链中涉及持久性即可造成的 iOS 远程代码执行漏洞最高支付300万美元。
该公司表示,安卓版本的 Chrome 浏览器中可导致权限提升的远程代码执行漏洞最高价值200万美元,而该平台上的零交互远程代码执行漏洞最高价值300万美元。不过这两种情况均需获得持久性。
IM 或 SMS应用中的零交互远程代码执行漏洞将获得最高150万美元的奖励,或者在需要交互的情况下获得100万美元的奖励。
路由器中的远程代码执行漏洞将最高获得10万美元,而导致本地权限提升的 WiFi/基带远程代码执行漏洞将获得最高50万美元。
有意向参与或了解漏洞提交具体流程和合法性的安全研究员应当加入该公司的漏洞研究中心 (VRH)。
推荐阅读
原文链接
https://www.securityweek.com/research-firm-offers-3-million-ios-android-0-days
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士 www.codesafe.cn”。