編譯/VR陀螺

近日，Meta 宣布更新漏洞賞金計(jì)劃，新增 Meta Quest Pro 和 Meta Quest Touch Pro 控制器的漏洞賞金計(jì)劃資格。

Meta 正在為 VR 技術(shù)添加新的支付指南，包括特定于 Meta Quest Pro 的錯(cuò)誤。Meta 在推文中強(qiáng)調(diào)“我們是首批為 VR 和混合現(xiàn)實(shí)設(shè)備設(shè)置漏洞賞金計(jì)劃的公司之一，我們將隨著行業(yè)的發(fā)展不斷更新和調(diào)整。”

圖源：Meta

為了讓大家更加關(guān)注 VR 技術(shù)，更容易找到漏洞，Meta 表示他們正在努力讓社區(qū)中的研究人員更容易使用他們的硬件技術(shù)，以便他們能夠發(fā)現(xiàn)漏洞。

例如，Meta 將 VR 技術(shù)作為年度 BountyCon 會(huì)議的焦點(diǎn)，該會(huì)議是業(yè)界唯一的漏洞獵手定期會(huì)議。在今年的會(huì)議上，Meta 關(guān)注度最高的會(huì)議之一是關(guān)于如何在 Meta 的 VR 設(shè)備和智能眼鏡中尋找錯(cuò)誤的演示。在這次會(huì)議之后，Meta 邀請(qǐng)研究人員探索 Meta Quest 2 設(shè)備并在現(xiàn)場(chǎng)黑客活動(dòng)中使用它們。

作為會(huì)議的一部分，Meta 獎(jiǎng)勵(lì)了研究員 Youssef Sammouda 提交的一個(gè)錯(cuò)誤，他報(bào)告了 Meta Quest 的 oAuth 流程中的一個(gè)問(wèn)題，該問(wèn)題可能導(dǎo)致 2 次單擊帳戶接管。Meta 已經(jīng)解決了該問(wèn)題，通過(guò)調(diào)查沒(méi)有發(fā)現(xiàn)濫用的證據(jù)，并為此報(bào)告獎(jiǎng)勵(lì)了總計(jì) 44,250 美元。

領(lǐng)導(dǎo) Meta 漏洞賞金計(jì)劃的安全工程師 Neta Oren 表示，最新的變化是公司努力的一部分，以確保 Meta 提供的漏洞賞金和該計(jì)劃涵蓋的產(chǎn)品與不斷變化的威脅保持一致，他說(shuō)道：“每年，我們都會(huì)繼續(xù)學(xué)習(xí)有關(guān)如何最好地與社區(qū)互動(dòng)的新知識(shí)，并調(diào)整我們的計(jì)劃以解決不斷發(fā)展的空間中一些最具影響力的領(lǐng)域。我們的計(jì)劃已經(jīng)從 2011 年僅涵蓋 Facebook 的網(wǎng)頁(yè)發(fā)展到現(xiàn)在涵蓋我們應(yīng)用程序系列中的所有 Web 和移動(dòng)客戶端，包括 Instagram、WhatsApp、Oculus、Workplace 等。”

圖源：darkreading

自 Meta 于 2011 年推出漏洞賞金計(jì)劃以來(lái)，該公司已收到來(lái)自全球漏洞獵手的超過(guò) 170,000 份報(bào)告。該公司確定其中 8,500 多份報(bào)告是有效的漏洞披露，并為此支付了總計(jì) 1600 萬(wàn)美元的獎(jiǎng)勵(lì)。 

今年到目前為止，Meta 已收到來(lái)自 45 個(gè)國(guó)家/地區(qū)的研究人員的大約 10,000 份報(bào)告，并為大約 750 個(gè)已確定的漏洞發(fā)放了總計(jì)超過(guò) 200 萬(wàn)美元的獎(jiǎng)金。截至目前，印度、尼泊爾和突尼斯在懸賞金額最多的國(guó)家/地區(qū)中名列前茅。

來(lái)源：Meta、darkreading