Tor是一款常用的网络隐私保护工具,漏洞经纪人Zerodium目前正在收集Tails Linux/Windows环境下运行的Tor浏览器(禁用JavaScript)的零日漏洞,并设置了一百万美元的奖池。
不论你使用Tor的匿名浏览是为了保护隐私、逃避审查还是进行暗网交易,你恐怕不会喜欢这个消息:Tor已经成为了靶子,原因是一家漏洞经纪人正在悬赏Tails Linux/Windows环境下运行的Tor浏览器的零日漏洞。这些零日漏洞将卖给在政府雇员Johnny Law。
漏洞经纪人Zerodium今天宣布,将悬赏一百万美元收集Tor浏览器的未知漏洞:
注意:征集Tor浏览器的零日漏洞,奖池100万美元。详情见:https://t.co/2Vz6RqTnBQ。
——Zerodium 2017年9月13日
根据Tor悬赏的说明,漏洞经纪人Zerodium公开征集Tails Linux/Windows环境下运行的Tor浏览器的零日漏洞。奖池共有一百万美元,将持续开放到美国东部时间到2017年11月30日6点,一旦奖金被领取殆尽,该悬赏也会提前关闭。
Zerodium并没有提到Tor网络的隐私保护和安全功能,而是宣称Tor经常“助纣为虐——恶棍们用它实施贩毒、虐待儿童等罪行。
我们之所以针对Tor浏览器设立这个特殊悬赏,是为了帮助政府客户打击犯罪,也是为每个人营造一个更好也更安全的世界。
要想获得悬赏,就必须在禁用JavaScript的情况下找到该浏览器的零日漏洞。这是因为Tor浏览器捆绑了NoScript功能,该功能在默认情况下启用JavaScript拦截,用户必须进行额外的安全操作才能关掉这个功能。
Zerodium的原文如下:
我们的期望很高:我们需要JavaScript禁用的状态下的Tor浏览器漏洞!JavaScript启用状态下的漏洞也可获得赏金,但是金额会有所降低。
根据奖金细则,Zerodium只要功能完全的漏洞,即可以“在目标操作系统上执行远程代码,无论使用当前用户的权限还是无限制的根/系统特权。”攻击过程必须保持悄无声息地进行,不需要用户交互、不触发警告消息或弹出窗口。
Tails Linux/Win10环境下的Tor浏览器的零日漏洞值多少钱?
Tails 3.x (64bit)和Windows 10 RS3/RS2 (64bit)环境下的Tor浏览器漏洞显然是最值钱的。如果能同时实现JavaScript禁用前提下的远程代码执行(RCE)和根/系统的本地权限提升(LPE),奖金可达25万美元。如果只有JavaScript禁用前提下的远程代码执行功能,奖金则是18.5万美元。
如果提交的零日漏洞只能在开启JavaScript的情况下进行RCE和LPE,奖金会缩水到12.5万美元。只能在JavaScript开启情况下进行RCE的漏洞则只值8.5万美元。
Zerodium是一家位于华盛顿的公司,由前Vupen合伙创始人Chaouki Bekrar于2015年创立。该公司于8月份提高了针对安全通讯应用的零日漏洞悬赏额度。该公司表示,漏洞奖金为50万美元,目标除了移动端邮箱应用,还涵盖了WhatsApp、Signal、 Telegram、Facebook Messenger、iMessage、Viber和微信等。
Zerodium这样的漏洞经纪人能比大多数供应商提供更高的漏洞赏额,但是受影响的供应商并不会得到漏洞通知。因此,这些零日漏洞也得不到修补。该漏洞经纪人宣称只会把零日漏洞卖给政府监管组织,但是这恐怕对社会透明度或政府监管水平没什么帮助。有些事情从过去到现在从没变过,财大气粗的美国政府会用这些漏洞去监视记者、持不同政见者等“异己”。
相关阅读
