200萬美元:漏洞獎勵額度再創新高
責編:gltian |2019-01-11 15:36:43新年伊始,安全漏洞市場再升溫,蘋果iOS遠程漏洞利用賞金攀至200萬美元。
漏洞收購公司Zerodium早在2015年9月就以100萬美元購買 iOS 9 零日漏洞利用而蜚聲世界,2016年9月其iOS漏洞利用賞金漲幅至150%達150萬美元,如今,200萬美元一個iOS漏洞的價格再次刷新世界紀錄。
大多數漏洞獎勵項目中,比如HackerOne和Bugcrowd托管的漏洞獎勵和趨勢科技的零日漏洞計劃(ZDI),安全研究人員披露之前未知的“零日”漏洞,然后收到經濟獎勵。漏洞獎勵項目提供商再將漏洞私下披露給受影響的廠商。但Zerodium并不遵從這種模式,而是將漏洞賣給其客戶——包括政府。
該公司在其常見問題與解答(FAQ)中聲明:
Zerodium客戶大多是需要特定網絡安全能力及防護性解決方案以抵御零日漏洞攻擊的政府機構。Zerodium的解決方案及功能高度保密,僅供非常有限的幾個組織機構使用。
截至目前,Zerodium從未公開披露過其收獲的任何蘋果漏洞信息及漏洞使用方法。
200萬美元獎金
挖掘最新版iOS操作系統的漏洞并不容易,這也是為什么賞金高達200萬美元之巨的原因。Zerodium還特別聲明,想要拿到這200萬美元賞金,提交的漏洞利用必須能夠無需終端用戶點擊就達成蘋果iOS遠程越獄,且能在機器重啟后仍然駐留。如果只需終端用戶一次點擊就實現遠程越獄,這種iOS漏洞價值150萬美元。
開價懸賞蘋果iOS漏洞的公司不止Zerodium一家。2018年11月的移動Pwn2Own大會上,趨勢科技的ZDI就給披露多個iOS零日漏洞的研究人員發出了獎金。但Pwn2Own上發現的漏洞全都不是遠程越獄,而是一些有趣的WiFi和瀏覽器漏洞,可以執行代碼和滲漏數據的。
ZDI給一名披露iOS沙箱逃逸漏洞的研究人員發放了6萬美元的獎金,遠不及Zerodium頂級iOS漏洞200萬美元的價位。但ZDI的價格已經高于漏洞獎勵的平均水平了。Bugcrowd《2018漏洞獎勵狀態》報告中稱,其托管的獎勵項目2018年的平均價位是781美元。
Zerodium要找的已經不是什么小缺陷,甚至可能都不能算作漏洞了。無需點擊的遠程越獄在手,攻擊者就能掌控補丁打全的iPhone,為所欲為,安裝軟件和抽取數據都不在話下。難怪Zerodium肯為此付出如此之高的價錢。
對Zerodium及其客戶來說,訊息方面的東西才是最值錢的。除了提高iOS漏洞的購買價格,Zerodium還增加了其他目標的收購價。蘋果iMessage多媒體短信或WhatsApp應用中的遠程代碼執行漏洞從50萬美元漲至100萬美元。而且不止移動系統,Zerodium還求購Windows漏洞,零點擊遠程代碼執行漏洞標價100萬美元,而之前Zerodium就為某Windows遠程代碼執行漏洞付出了50萬美元。
Zerodium漏洞賞金的上升進一步證明了軟件漏洞的價值。這并不令人意外,軟件漏洞已不僅僅是業務關鍵性問題,隨著現代社會越來越依賴軟件運轉,很多情況下軟件漏洞的影響都更為深遠。