示意圖,Photo by Brett Jordan on unsplash

臉書在本周公布了自2011年執行抓漏獎勵專案(Bug Bounty Program)以來10年的成果,意外揭露了一個藏匿在Messenger上的安全漏洞,當使用者利用Messenger撥電話給另一個用戶時,就算對方尚未接聽,使用者就能聽到對方的聲音。該漏洞是由Google Project Zero團隊成員Natalie Silvanovich所提報,而且獲得了6萬美元的高額獎金。

根據臉書的統計,這10年來全球總計有超過5萭名研究人員加入該公司的抓漏獎勵專案,提交了逾13萬份漏洞報告,並有來自107個國家的約1,500名研究人員所提交的6,900份報告獲得獎金,取得最多獎金的國家依序是印度、突尼西亞及美國。

此外,今年以來已收到1.7萬份漏洞報告,當中有超過1,000份取得了總計198萬美元的獎金。臉書也公布了今年獲頒獎金最高的兩個安全漏洞,一是由安全研究人員Selamet Hariyanto所揭露的內容遞送網路(Content Delivery Network,CDN)漏洞,此一CDN是一個由臉書全球多個伺服器所組成的網路,可供應內容予臉書的全球用戶,Hariyanto發現,他能夠存取已被列為過期之CDN網址的子集。

這理應只是個小漏洞,但臉書內部的研究人員在修補時發現,該漏洞在極少數的狀況下有可能擴張成遠端程式攻擊,因而頒給Hariyanto高達8萬美元的獎金。

第二個高額獎金則是由Google Project Zero團隊成員Natalie Silvanovich取得。Silvanovich提報的是一個藏匿在Messenger上的漏洞,登入Messenger的駭客撥電話給受害者時,只要同時傳送一個客製化的訊息,且受害者同時開啟了Android上的Messenger與另一個同帳號的Messenger(例如網頁版),即使對方未接聽,也能在響鈴時聽到對方的聲音。Silvanovich也因該漏洞獲頒了6萬美元的獎金。

Silvanovich是在今年10月7日提交此一漏洞,原本預計會在90天之後,也就是明年的1月4日才公開漏洞細節,但隨著臉書已修補並揭露,其技術細節與概念性驗證亦跟著曝光


熱門新聞

Advertisement