Facebook 移动版零点击RCE 漏洞奖励最高30万美元
编译:代码卫士
实际的漏洞奖励金额将取决于触发该缺陷所需的用户交互情况(以“点击数”计算)。要获得最多的奖励金额,安全研究员需要提供可发挥作用的 PoC 代码,演示如何在当前或之前两个安卓版本或当前受支持的苹果iOS版本中如何利用该漏洞。
除了更新移动版RCE漏洞的奖励指南外,Meta 还在本周发布了针对账户接管 (ATO) 和双因素认证 (2FA) 绕过漏洞的奖励指南更新。
2FA漏洞的最高奖励是2万美元,而ATO漏洞的最高奖励是13万美元。最终的奖励金额将取决于攻击者利用漏洞的难易程度。例如,报告和演示了可利用零点击认证漏洞的研究人员可获得13万美元的奖励,而零点击的ATO漏洞将获得5万美元。
Meta 还更新了针对Meta Quest Pro 和其它虚拟现实技术的奖励指南,使得Meta 成为首批设立虚拟现实和混合现实设备漏洞奖励计划的企业之一。
Meta 公司的漏洞奖励计划已设立11年。目前向全球的自由职业研究人员已支付1600万美元的奖励。这次指南更新是为了确保所提供的漏洞奖励和所涉及的产品仍然与不断演变的威胁相一致。
Meta 公司漏洞奖励计划的负责人兼安全工程师 Neta Oren 提到,“每年,我们都在学习关于如何最佳参与社区并调整计划,解决不断发展的领域中最具影响力的地方。我们的计划从2011年只涉及Facebook 的网页发展到当前覆盖应用家族中的所有Web和移动客户端,如Instagram、WhatsApp、Oculus、Workplace等。”
Meta 公司的漏洞奖励计划类似于近年来其它数百家已执行众包猎洞计划的企业。很多安全专家认为这些计划是找到内部安全研究员可能错过的漏洞的成本效益方法。这些计划使道德黑客以结构化方法找到并报告可能从网站或web应用上发现的漏洞,并为自己付出的努力获得报酬。
其中很多漏洞奖励计划包括安全港条款,即赦免相关安全研究员的法律责任。对于厂商而言,他们通过这些漏洞奖励计划网络到最顶级的安全研究员,以性价比相对较高的方式在自己的平台上进行渗透测试。更重要的是,这也有助于确保研究员直接向它们提交漏洞报告,而无需在修复方案发布前公开甚至用于灰产。
尽管如此,也有一些人对这类漏洞奖励计划持谨慎态度,他们认为会导致研究人员提交数量庞大的漏洞报告,尤其是组织机构的安全团队如果不够成熟或者没有准备好响应时会带来不良影响。
自2011年发布Facebook 漏洞奖励计划以来,Meta 公司就从全球的猎洞者处收到超过17万份漏洞报告。该公司从中找到8500多份有效报告,共计颁发1600万美元的奖励。
从今年的情况来看,Meta 公司已收到全球45个国家安全研究员提交的1万份漏洞报告,并为750个漏洞颁发200多万美元的奖励。印度、尼泊尔和突尼斯是今年获得Meta公司奖励最多的前三个国家。
Oren 表示,“我们设立十多年漏洞奖励计划的一个好处是,其中一些研究人员多年来专注于在我们的平台上挖掘漏洞并对我们的产品和服务极为熟悉。这些研究员能够挖掘到深层次的漏洞,而不止流于表面,他们能够帮助我们找到影响力大但小众的漏洞,而这些地方是更广泛的社区不一定会查找的地方。”
比如,一个账户接管和2FA绕过链问题就是一个大影响但小众的漏洞,它是由长期挖掘漏洞的一名研究员今年在Facebook 的基于电话号码的账户恢复流中发现的。该漏洞本可导致攻击者重置密码并接管不受2FA保护的账户。为此,Meta 公司向这名研究员颁发了16.3万美元的奖励。
这两个漏洞暴露 Facebook Group 成员,有个用手机就能发现,获奖$9000
Facebook 允许漏洞猎人抱团提交漏洞报告分享奖金
https://www.darkreading.com/vulnerabilities-threats/meta-300k-bounty-mobile-rce-vulnerabilities-facebook
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。