俄罗斯零日漏洞经纪公司Operation Zero正在寻找流行通讯应用Telegram的漏洞，并为此悬赏高达400万美元。

俄罗斯零日漏洞经纪公司Operation Zero正在悬赏高达400万美元收购Telegram的漏洞，这一消息最初由Tech Crunch报道。该公司为一键远程代码执行（RCE）漏洞提供高达50万美元的赏金，为零点击RCE漏洞提供50万美元，而为能够完全控制设备的全链漏洞提供高达400万美元的赏金。该公司专门向俄罗斯政府和本地企业出售漏洞。

我们正在寻找：
— Telegram一键RCE漏洞 — 最高50万美元
— Telegram零点击RCE漏洞 — 最高50万美元
— Telegram全链漏洞 — 最高400万美元
目标包括Android、iOS、Windows平台的漏洞。价格取决于零日漏洞的限制和获得的权限。
— Operation Zero (@opzero_en) 2025年3月20日

为何Telegram漏洞如此值钱？

像Operation Zero这样的零日漏洞经纪公司愿意为Telegram漏洞支付数百万美元，主要有以下几个原因：

1. 政府和情报需求— Telegram被广泛用于安全通信，包括记者、活动家、政治人物等。俄罗斯情报机构可以利用这些漏洞进行监视和间谍活动。
2. 战略网络战— 在地缘政治冲突中，获取Telegram账户和设备访问权限可以提供军事和情报优势，例如拦截敏感通信和识别线人。
3. 执法和网络犯罪控制— 俄罗斯当局可能希望监控使用Telegram的犯罪组织、反对派团体或外国实体。在不依赖Telegram合作的情况下获取访问权限具有极高的价值。

鉴于Telegram的端到端加密和广泛使用，能够绕过其安全性的漏洞可能会彻底改变网络间谍活动的格局。

乌克兰对Telegram的禁令

2024年9月，乌克兰国家网络安全协调中心（NCCC）出于国家安全考虑，禁止政府机构、军队和关键基础设施使用Telegram。该禁令不影响乌克兰公民。

9月19日，乌克兰在一次关于国家安全威胁的会议上宣布了这一禁令，特别强调了在俄乌冲突期间使用Telegram的风险。

乌克兰国防情报局局长基里洛·布达诺夫警告称，俄罗斯情报机构可能通过Telegram监视乌克兰实体，甚至获取用户的删除消息。

“乌克兰国防情报局局长基里洛·布达诺夫提供了确凿证据，证明俄罗斯特工部门可以访问Telegram用户的个人通信，包括已删除的消息及其个人数据。”乌克兰国家安全与国防委员会发布的公告中写道。

“我一直支持言论自由，但Telegram的问题不是言论自由的问题，而是国家安全的问题。”布达诺夫表示。

乌克兰安全局和武装部队总参谋部的代表警告称，与俄罗斯有关的威胁行为者正在积极利用Telegram进行网络攻击，传播钓鱼软件和恶意软件，定位用户位置，调整导弹打击等。

“为了最大限度地减少这些威胁，决定禁止在政府官员、军事人员、安全和国防部门员工以及关键基础设施企业的官方设备上安装和使用Telegram。”公告继续写道，“唯一的例外是那些使用该通讯工具作为其官方职责一部分的人员。”

尽管对军事和政府设备实施了禁令，乌克兰用户仍然高度依赖Telegram进行通信和获取冲突新闻。

随着通讯应用和移动设备的安全性日益增强，零日漏洞的价格也在不断上涨。

参考来源：

Zero-day broker Operation Zero offers up to $4 million for Telegram exploits