安卓“零日”已達 250 萬美元 為什么安卓比 iOS 攻擊成本更高?
責編:gltian |2019-09-10 15:07:25所謂 “零日漏洞” 的收購商為 Android 漏洞支付的費用比 iOS 還要高,直到最近這都是不可想象的。
零日漏洞收購商 Zerodium 現在為一個 Android 漏洞支付的費用高達 250 萬美元,比 iPhone 高出 50 萬美元。
多年以來,iPhone 一直被認為是世界上最封閉的主流計算設備。它的受歡迎程度和層層的安全保護,使得任何能夠破解 iPhone 的技術在黑市上都比類似的針對 Android 攻擊更罕見,也更昂貴。但現在市場發生了變化。一款能夠遠程控制 Android 智能手機的秘密黑客工具的售價首次超過了針對 iPhone 的類似工具。
在周二的時候,專門收購和出售零日漏洞(利用軟件還沒有被發現的漏洞)的公司 Zerodium 發布了一份更新后的價格清單。現在該公司愿意為一種號稱零點擊的黑客技術支付的金額高達 250 萬美元,這種技術可以悄無聲息地控制一部 Android 手機,不需要目標用戶進行任何互動。這不僅是 Zerodium 有史以來為一個零日漏洞標出的最高價格,也比該公司為針對 iPhone 的零點擊攻擊標出的價格高出 50 萬美元。實際上 Zerodium 將通過網絡瀏覽器對 iPhone 進行所謂 “一鍵” 攻擊的價格從 150 萬美元下調至 100 萬美元。一些 iMessage 攻擊的價格下降了一半,從 100 萬美元降至 50 萬美元。
Zerodium 的創始人 Chaouki Bekrar 表示:
在過去的幾個月里,我們觀察到來自世界各地的研究人員開發和出售 iOS 漏洞(主要是針對 Safari 和 iMessage)的數量有所增加。零日市場上有太多的 iOS 漏洞,所以我們最近也開始拒絕一些漏洞。歸功于谷歌和三星的安全團隊,Android 的安全性隨著每一次操作系統的版本更新都在提高,開發全套的安卓破解工具變得非常困難和費時,甚至很難在不需要任何用戶交互的前提下進行零點擊攻擊。
Bekrar 補充道,Zerodium 設立的最高獎金集中在谷歌、三星、華為和索尼的設備。他寫道:其他設備的漏洞也很吸引人,但它們的價格將根據具體情況而定。
Zerodium 的新標價與前幾年的數字形成了鮮明對比。2015 年,該公司發布了最初始的價格適中的零日價目表,其中針對 iOS 攻擊的報價高達 50 萬美元,針對Android 黑客技術的報價最高僅為 10 萬美元。
盡管 Zerodium 是唯一一個公開零日價格列表的公司,但它標出的價格表并不一定代表執法機構和間諜機構等其他零日收購商可能會為新的黑客工具支付多少錢。一些安全行業的人士認為,Zerodium 的名單在很大程度上是該公司的營銷工具,旨在影響價格,而不是記錄價格。
但獨立的安全漏洞研究人員、現已解散的漏洞收購公司 Q-Recon 的創始人施瓦茨 (Maor Shwartz) 表示,這些變化與他自己的觀察相符。
現在大多數人的目標都是 Android,漏洞越來越少,因為很多漏洞都已經被修復了。從一年前開始,客戶就會問我,你知道誰在為安卓系統工作,知道有什么漏洞嗎?我開始有一種預感,市場正在發生變化。
施瓦茨表示針對高端 Android 手機的網絡攻擊,現在可以以超過 200 萬美元的非獨家價格出售,這意味著研究人員可以以這個價格將漏洞賣給多個買家。他說一次基于網絡的 iPhone 攻擊的非獨家售價約為 150 萬美元。他說,這個比例也較為通用:Android 攻擊的價格通常為 iPhone 價格的 30% 左右。
施瓦茨認為由于 Chrome 的安全性相對于 Safari 更高,通過 Android 手機瀏覽器入侵目標設備的難度要比入侵 iOS 大得多。但他表示 Android 漏洞愈發昂貴的真正原因是,很難找到針對 Android 的所謂 “本地權限提升” 漏洞。這種漏洞可以使攻擊者在站穩腳跟后對手機進行更深入的控制。很大程度上是因為 Android 手機增強了其安全措施,在 Android 上發現 LPE 漏洞的難度現在和在 iOS 上發現 LPE 漏洞一樣難。再加上很難找到一個容易被黑客攻擊的瀏覽器漏洞來啟動攻擊,這使得 Android 在總體上變成了一個更困難、價值更高的目標。
施瓦茨認為 Android 的安全性之所以會提高,部分是因為其開源策略終于得到了回報。當 Apple 一直保持其操作系統的封閉性,即使是善意的安全研究人員也很難發現其 bug(隨著其擴張并試圖開展懸賞計劃,這也是 Apple 需要解決的一個問題),Android 開源策略意味著有更多的人會看到它的代碼。雖然這種策略在一開始帶來了更多的 bug,但隨著時間的推移,這些漏洞已經得到了修復,其操作系統也越來越堅固。施瓦茨表示:隨著大量的漏洞被修復,攻擊面也大大減少。”
由于長期依賴第三方制造商和運營商,Android 一直存在安全補丁問題。這些并沒有體現在 Zerodium 的價目表中,因為該公司關注的是補丁已經打好的設備上的零日漏洞。
如果你想賺錢,就主攻 Android。
但值得稱道的是,Google 一直在慢慢地降低 Android 手機內部對黑客的友好程度,包括今天發布的 Android 10:它增加了新的基于文件的加密,并改造了 “沙箱” (sandbox),使得人們無法從操作系統的其他部分訪問應用程序。
事實上,谷歌多年來一直在通過增加解決方案,使得設備在出現新的安全漏洞時,也很難被入侵。例如在 2018 年,Google 引入了控制完整性 (Control Flow Integrity),旨在防止惡意程序在內存中進行跳轉來繞過一個較老的安全措施(隨機化內存中的代碼位置),以及整數溢出處理 (Integer Overflow Sanitization), 旨在防止這種類型的錯誤像在 2015 年那樣,被一類名為 Stagefright 的攻擊所利用。
但是施瓦茨指出,除了這些應對方案之外,iOS 零日漏洞最初較高的價格也吸引了安全研究人員的極大關注,導致針對 iOS 的攻擊相對過剩。上周這些攻擊的絕對數量也引人矚目,當時 Google 透露一次黑客活動利用了 5 個完全不同的 iOS 漏洞,通過網站感染了數千名受害者的手機。Google 在上個月披露的另一項發現中,該公司的安全研究員 Natalie Silvanovich 發現了至少 6 次針對 iOS 的零點擊攻擊。
施瓦茨表示除了 Android 增強了安全措施之外,對iOS 和 Android 的關注失衡也推動了 Android 零日漏洞的價格上漲。對于高風險的安卓用戶來說,這些高價并不會讓他們感到舒服;高昂的懸賞可能實際上意味著需要對操作系統進行一輪更深入的漏洞研究。
現在確實對 Android 的漏洞有需求,而且由于有缺口,價格一直在飛漲。我告訴每一個和我談話的研究人員,如果你想賺錢,就主攻 Android。