新年伊始,安全漏洞市场再升温,苹果iOS远程漏洞利用赏金攀至200万美元。
漏洞收购公司Zerodium早在2015年9月就以100万美元购买 iOS 9 零日漏洞利用而蜚声世界,2016年9月其iOS漏洞利用赏金涨幅至150%达150万美元,如今,200万美元一个iOS漏洞的价格再次刷新世界纪录。
大多数漏洞奖励项目中,比如HackerOne和Bugcrowd托管的漏洞奖励和趋势科技的零日漏洞计划(ZDI),安全研究人员披露之前未知的“零日”漏洞,然后收到经济奖励。漏洞奖励项目提供商再将漏洞私下披露给受影响的厂商。但Zerodium并不遵从这种模式,而是将漏洞卖给其客户——包括政府。
该公司在其常见问题与解答(FAQ)中声明:
Zerodium客户大多是需要特定网络安全能力及防护性解决方案以抵御零日漏洞攻击的政府机构。Zerodium的解决方案及功能高度保密,仅供非常有限的几个组织机构使用。
截至目前,Zerodium从未公开披露过其收获的任何苹果漏洞信息及漏洞使用方法。
200万美元奖金
挖掘最新版iOS操作系统的漏洞并不容易,这也是为什么赏金高达200万美元之巨的原因。Zerodium还特别声明,想要拿到这200万美元赏金,提交的漏洞利用必须能够无需终端用户点击就达成苹果iOS远程越狱,且能在机器重启后仍然驻留。如果只需终端用户一次点击就实现远程越狱,这种iOS漏洞价值150万美元。
开价悬赏苹果iOS漏洞的公司不止Zerodium一家。2018年11月的移动Pwn2Own大会上,趋势科技的ZDI就给披露多个iOS零日漏洞的研究人员发出了奖金。但Pwn2Own上发现的漏洞全都不是远程越狱,而是一些有趣的WiFi和浏览器漏洞,可以执行代码和渗漏数据的。
ZDI给一名披露iOS沙箱逃逸漏洞的研究人员发放了6万美元的奖金,远不及Zerodium顶级iOS漏洞200万美元的价位。但ZDI的价格已经高于漏洞奖励的平均水平了。Bugcrowd《2018漏洞奖励状态》报告中称,其托管的奖励项目2018年的平均价位是781美元。
Zerodium要找的已经不是什么小缺陷,甚至可能都不能算作漏洞了。无需点击的远程越狱在手,攻击者就能掌控补丁打全的iPhone,为所欲为,安装软件和抽取数据都不在话下。难怪Zerodium肯为此付出如此之高的价钱。
对Zerodium及其客户来说,讯息方面的东西才是最值钱的。除了提高iOS漏洞的购买价格,Zerodium还增加了其他目标的收购价。苹果iMessage多媒体短信或WhatsApp应用中的远程代码执行漏洞从50万美元涨至100万美元。而且不止移动系统,Zerodium还求购Windows漏洞,零点击远程代码执行漏洞标价100万美元,而之前Zerodium就为某Windows远程代码执行漏洞付出了50万美元。
Zerodium漏洞赏金的上升进一步证明了软件漏洞的价值。这并不令人意外,软件漏洞已不仅仅是业务关键性问题,随着现代社会越来越依赖软件运转,很多情况下软件漏洞的影响都更为深远。
相关阅读