臉書更新抓漏獎勵，RCE漏洞最高可拿30萬美金

繼今年抓漏的豐碩成果後，Meta旗下臉書（Facebook）部門上周宣布更新漏洞獎勵計畫支付指引，重點加強包括行動遠端程式碼執行（mobile RCE）、帳號接管、2FA繞過，以及VR產品漏洞的檢查，其中RCE最高可拿30萬獎金。

臉書表示，自2011年以來，該公司收到外部研究人員17萬次漏洞通報，使其發出8,500多次獎勵，金額達1,600多萬美元。單是在今（2022）年，該公司也收到了約1萬次通報，使他們發出750多次獎金，總金額超過200萬美元。以獲獎金金額的研究人員國籍區分，則以印度、尼泊爾及突尼西亞居最高。

在今年的抓漏獎勵方案下，臉書也更新支付指引，以著重特定類別漏洞。包括更新行動遠端程式碼執行（RCE）漏洞的支付指引，並增加帳號接管（account takeover，ATO）及雙因素驗證（2FA）繞過漏洞。其中，行動RCE漏洞獎金高達30萬美元，而ATO獎金也上看13萬美元。

臉書表示，支付指引是為特定漏洞類別設定平均最高支付水準，並說明臉書評審漏洞獎金的條件。但該公司強調每件漏洞通報都是依個案審核，也可能有些漏洞能獲得高於設定的獎金上限。

例如，今年臉書針對一個電話號碼帳號回復流程中，可能導致攻擊者重設密碼，並接管帳號的帳號接管漏洞，發出16.3萬美元獎金。由於發現漏洞的一名印度研究人員還可將本漏洞串聯另一個2FA漏洞，又獲得臉書2.5萬美元獎金。

而在2FA繞過漏洞中，今年臉書針對一名尼泊爾研究人員通報的限流問題，可讓攻擊者暴力破解證實用戶手機號碼的驗證碼，繞過SMS 2FA保護，發出2.7萬美元。

為了推動元宇宙願景的實現，臉書上周也宣布更新獎勵條款，加入VR技術的支付指引，把Meta的虛擬實境（VR）及混合實境（MR）裝置產品包括Meta Quest Pro和Meta Quest Touch Pro控制器的漏洞列入獎勵行列。

事實上，今年臉書已經開始重點獎勵Quest裝置的漏洞通報。例如一名Youssef Sammouda通報Meta Quest的oAuth流程漏洞，後者可能導致攻擊者2次點擊就接管了用戶帳號。為此他獲頒高達4.4萬美元的獎金。