500万美元！天价安卓0day漏洞暗网开卖

网络安全应急技术国家工程中心 2024-06-17 15:49

名为Sp3ns3r的泄露论坛用户于2024年6月16日（星期日）止午 6：50发帖，声称其掌握安卓操作系统的某个RCE，该漏洞利用为零点击，威力无比，但该泄露者并在漏洞论坛上并没有给出报价。跟帖者表示是不是需要500万美元。短短的贴文只透露了有限的信息，该漏洞可用于安卓11、12、13、14版本，是零点击利用，Paylaod仅仅是MMS，应该指就是一条条多媒体短信，效果是能够实现对安卓手机的完全控制。留下了联系方式 https://t.me/CodeBreachLab/117（这个Telegeam频道上列出的信息与泄露论坛上一致，仅仅多了一项报价，500万美元）和https://t.me/HawkCBL，仅仅是Telegram的联系通道。

该Telegeam频道为CodeBreach实验室所有，看似一个0day漏洞研究和出售实体，目前仅有199个订阅者。

这种天价，即使漏洞通杀所有安卓手机，想想能卖给谁呢？谁会为此买单呢？是不是想想就脑袋疼。

两个月前，4月16日，也是这个
CodeBreach实验室，还以200万美元叫卖过一个iMessage“零日”漏洞。

当时，也有网络安全专家称这可能是个假广告，并没有可信证据表明有买家达成了这个漏洞交易。

6月12日，
CodeBreach Lab还发布了一条更新的漏洞出售消息，可能是之前imessages RCE的升级，报价400万美元！

据CodeBreach Lab自我介绍 ，它是一个匿名的Red Team组织，他们开发漏洞并将其出售给政府和私人机构。他们不会公开出售其漏洞，尽管许多公司愿意购买其公开出售的漏洞，但出于安全原因，他们不会这样做。如需购买漏洞，请联系他们，如有任何疑问，请发邮件至@cblabsupport。

是真是假，试目以待！

参考资源

1、https://breachforums.st/Thread-SELLING-0day-Android-RCE-Exploit-ZeroClick

2、https://t.me/CodeBreachLab

3、https://www.ccn.com/news/crypto/trust-wallet-imessenger-alert-security-failings-ios-app-vulnerabilities/