#安全资讯 俄罗斯漏洞经纪商开出最高 400 万美元的价格收购即时通讯工具 Telegram 的零点击漏洞，该经纪商通常收到客户定金后发布悬赏令。其中需要用户交互的 Telegram 远程代码执行漏洞 50 万美元，无需交互的零点击漏洞 150 万美元，能够利用 Telegram 控制整个设备的漏洞 400 万美元。查看全文：https://ourl.co/108451

来自俄罗斯的漏洞经纪商 Operation Zero 是个专门收购和出售安全漏洞的公司，无论是软件漏洞还是硬件漏洞，只要具有较高的利用价值那么就可以收购和出售。

此前该公司曾开价 2000 万美元收购可以完全控制 iOS 和 Android 设备的安全漏洞，不过目前这类漏洞的价格已经下降到 250 万美元。

最近 Operation Zero 面向即时通讯工具 Telegram 开出多个价目表用来收购安全漏洞，按照用户交互点击次数不同会有不同的收购价格，收购价从 50 万美元～400 万美元。

其中需要用户交互 1 次 (点击 1 次) 的远程代码执行 (RCE) 漏洞收购价为 50 万美元，无需用户交互的零点击 (0click) 远程代码执行漏洞收购价 150 万美元，如果能够提供全链漏洞则可以获得 400 万美元。

通常情况下全链漏洞指的是黑客能够提供完整的漏洞利用链条并获得目标设备的完整访问权，在这里指的是可以获得 Telegram 乃至整个设备 / 操作系统控制权的漏洞。

值得注意的是漏洞经纪商偶尔会囤积漏洞，但更多时候是客户需要特定漏洞并支付定金后，漏洞经纪商才会发布悬赏令，所以此次 Operation Zero 发布悬赏令或许并非炒作，而是已经有客户支付定金希望获得这些漏洞。

至于为什么收购这些漏洞自然也非常简单，有些组织收购这些漏洞用于网络攻击，Telegram 目前用户量已经超过 10 亿名，如果能找到 Telegram 零点击漏洞那可以借助该工具对目标用户 / 用户群发起攻击。

既然能够出如此高的价格悬赏这些漏洞，也说明发起攻击的组织的最终目标具有极高的价值，所以才会愿意以几百万美元的价格收购这些漏洞。

注：以上只是悬赏令，并不意味着 Telegram 此时已经出现未知的零点击漏洞，所以请各位 Telegram 用户不要担心。