文|三易生活
手機(jī)里的App為什么總是要更新?這是一個(gè)在網(wǎng)絡(luò)上引發(fā)了大量網(wǎng)友共鳴的問(wèn)題,除了添加新功能以滿足用戶的更多需要之外,修復(fù)漏洞無(wú)疑是更新日志上最常出現(xiàn)的詞匯。畢竟世界上不存在沒(méi)有BUG的軟件,以至于互聯(lián)網(wǎng)廠商軟件團(tuán)隊(duì)的一項(xiàng)核心工作就是修BUG。然而人力終有窮,再?gòu)?qiáng)大的互聯(lián)網(wǎng)巨頭也做不到憑一己之力去發(fā)現(xiàn)自己軟件的所有漏洞。
如此一來(lái),許多廠商就選擇了群策群力,推出“漏洞賞金計(jì)劃”來(lái)調(diào)動(dòng)外界的積極性,例如蘋(píng)果、谷歌、微軟、Meta等大廠的賞金計(jì)劃更是動(dòng)輒以百萬(wàn)美元為單位。蘋(píng)果安全工程和架構(gòu)負(fù)責(zé)人Ivan Krstic是這樣形容漏洞賞金計(jì)劃的,“把絕大部分致命漏洞找出來(lái)是很難的,為了獎(jiǎng)勵(lì)研究者所花費(fèi)的時(shí)間、精力,以及富有創(chuàng)造力的發(fā)現(xiàn),蘋(píng)果才設(shè)置這么(100萬(wàn)美元)龐大的獎(jiǎng)金池”。
可白帽黑客、安全研究人員對(duì)于這些大廠的漏洞賞金計(jì)劃卻并沒(méi)有趨之若鶩,以至于谷歌在最近就宣布,在8月31日之后,安全研究人員將無(wú)法再通過(guò)GPSPR計(jì)劃向其提交漏洞。GPSPR即Google Play安全獎(jiǎng)勵(lì)項(xiàng)目,是谷歌在2019年推出的一項(xiàng)針對(duì)Google Play商店的漏洞懸賞計(jì)劃,當(dāng)研究人員發(fā)現(xiàn)漏洞并提交給谷歌后,谷歌將會(huì)按照漏洞危害程度提供不同的現(xiàn)金獎(jiǎng)勵(lì)。
對(duì)于GPSP被關(guān)閉的原因,谷歌的說(shuō)法是研究人員向谷歌提交的漏洞報(bào)告逐漸減少。那么問(wèn)題就來(lái)了,Android生態(tài)的安全性真的越來(lái)越高,以至于真正意義上的漏洞變得屈指可數(shù)了?當(dāng)然不是,畢竟谷歌自己發(fā)布的報(bào)告就否認(rèn)了這一說(shuō)法。
根據(jù)谷歌方面在3月中旬公布的信息顯示,其在2023年向全球632名安全專家發(fā)放了超過(guò)1000萬(wàn)美元的賞金,以酬謝他們發(fā)現(xiàn)、并負(fù)責(zé)任地報(bào)告谷歌旗下產(chǎn)品和服務(wù)中的安全漏洞。據(jù)悉在這1000萬(wàn)美元里,有關(guān)Android系統(tǒng)和應(yīng)用的漏洞賞金就高達(dá)340萬(wàn)美元,也是其中最大的一份。并且谷歌還宣布將Android關(guān)鍵漏洞的最高獎(jiǎng)勵(lì)金額提高到15000美元,從而推動(dòng)了更多的安全研究人員報(bào)告他們的發(fā)現(xiàn)。
如果Android真的變得無(wú)懈可擊,谷歌又何必給全世界的安全專家發(fā)錢(qián),并進(jìn)一步提高金額呢?比如就在數(shù)天前,谷歌發(fā)布了本月的Android安全更新,修補(bǔ)了46個(gè)不同的漏洞,其中還包括了一個(gè)已經(jīng)遭到利用的“零日漏洞”。對(duì)此,一個(gè)更有可能的結(jié)論,是被提交給谷歌的Android漏洞變少,并不是Android本身變得更安全了,而是研究人員不再傾向于將漏洞交給谷歌。
事實(shí)上,不僅僅是谷歌、蘋(píng)果等大廠在收購(gòu)自家產(chǎn)品的漏洞,市面上也有一大批第三方公司在進(jìn)行類似的操作。早在2019年,專門(mén)收購(gòu)和出售零日漏洞的公司Zerodium就曾宣布,為一個(gè)Android漏洞支付了高達(dá)250萬(wàn)美元的費(fèi)用。近期也有阿聯(lián)酋的Crowdfense公司宣布,斥資3000萬(wàn)美元收購(gòu)各種手機(jī)、軟件等主流產(chǎn)品的漏洞。
上述這些漏洞灰色產(chǎn)業(yè)鏈,無(wú)疑是一個(gè)讓各大廠商感到頭疼的東西。由于Android在移動(dòng)操作系統(tǒng)市場(chǎng)的領(lǐng)先地位,以及智能手機(jī)早已滲透到大量用戶日常生活中的方方面面,特別是銀行、支付工具的數(shù)字化讓用戶的資產(chǎn)與手機(jī)產(chǎn)生了強(qiáng)關(guān)聯(lián),所以也導(dǎo)致對(duì)Android系統(tǒng)的攻擊已經(jīng)成為了黑客獲取超額收益的主要場(chǎng)景。
通過(guò)漏洞攻克Android系統(tǒng)的防護(hù)對(duì)于黑客而言,就是用鑰匙打開(kāi)了金庫(kù)的保險(xiǎn)門(mén)。那么問(wèn)題也隨之而來(lái),為什么安全漏洞的發(fā)現(xiàn)者往往更愿意將漏洞賣(mài)給類似Crowdfense這樣的中間商,或是干脆在黑市上直接賣(mài)給黑灰產(chǎn)團(tuán)隊(duì)呢?原因當(dāng)然是因?yàn)樗麄儼l(fā)現(xiàn),從這些組織獲得的回報(bào)要遠(yuǎn)遠(yuǎn)超過(guò)將漏洞提交給相關(guān)所獲得的獎(jiǎng)勵(lì)。
相比于見(jiàn)不得光的黑灰產(chǎn)團(tuán)隊(duì)或中間商,市值兩萬(wàn)億美元的谷歌顯然是無(wú)可爭(zhēng)議的龐然大物。但反直覺(jué)的是,相比于黑灰產(chǎn),谷歌對(duì)于安全漏洞的出價(jià)往往更加吝嗇。比如谷歌為Android關(guān)鍵漏洞開(kāi)出的價(jià)格是1.5萬(wàn)美元,而中間商卻給到了高達(dá)250萬(wàn)美元。其實(shí)出現(xiàn)這一現(xiàn)象的原因并不復(fù)雜,因?yàn)椴煌慕M織對(duì)于安全漏洞的價(jià)值判斷方式并不一樣。
對(duì)于黑灰產(chǎn)團(tuán)隊(duì)來(lái)說(shuō),漏洞的價(jià)值取決于借此所獲得的財(cái)富,即潛在收益。而相關(guān)企業(yè)眼中,如果漏洞始終未覺(jué),則其對(duì)于企業(yè)來(lái)說(shuō)則皆如無(wú)形、也無(wú)損企業(yè)資產(chǎn)分毫,所以這就使得漏洞的價(jià)值是由測(cè)試漏洞的成本來(lái)決定。顯而易見(jiàn),以破壞而非建設(shè)為目的黑灰產(chǎn)團(tuán)隊(duì),自然會(huì)對(duì)漏洞的價(jià)值開(kāi)出更高的價(jià)碼。
同時(shí)由于互聯(lián)網(wǎng)上信息傳播的特質(zhì),特別是一些高隱私性網(wǎng)絡(luò)的存在,導(dǎo)致安全研究人員向黑灰產(chǎn)出售漏洞的風(fēng)險(xiǎn)大幅降低。因此從安全研究人員的角度出發(fā),既然已經(jīng)是在做“挖洞致富”的活,自然就是哪邊出價(jià)高就賣(mài)給哪邊了。