所谓 “零日漏洞” 的收购商为 Android 漏洞支付的费用比 iOS 还要高,直到最近这都是不可想象的。
零日漏洞收购商 Zerodium 现在为一个 Android 漏洞支付的费用高达 250 万美元,比 iPhone 高出 50 万美元。
多年以来,iPhone 一直被认为是世界上最封闭的主流计算设备。它的受欢迎程度和层层的安全保护,使得任何能够破解 iPhone 的技术在黑市上都比类似的针对 Android 攻击更罕见,也更昂贵。但现在市场发生了变化。一款能够远程控制 Android 智能手机的秘密黑客工具的售价首次超过了针对 iPhone 的类似工具。
在周二的时候,专门收购和出售零日漏洞(利用软件还没有被发现的漏洞)的公司 Zerodium 发布了一份更新后的价格清单。现在该公司愿意为一种号称零点击的黑客技术支付的金额高达 250 万美元,这种技术可以悄无声息地控制一部 Android 手机,不需要目标用户进行任何互动。这不仅是 Zerodium 有史以来为一个零日漏洞标出的最高价格,也比该公司为针对 iPhone 的零点击攻击标出的价格高出 50 万美元。实际上 Zerodium 将通过网络浏览器对 iPhone 进行所谓 “一键” 攻击的价格从 150 万美元下调至 100 万美元。一些 iMessage 攻击的价格下降了一半,从 100 万美元降至 50 万美元。
Zerodium 的创始人 Chaouki Bekrar 表示:
在过去的几个月里,我们观察到来自世界各地的研究人员开发和出售 iOS 漏洞(主要是针对 Safari 和 iMessage)的数量有所增加。零日市场上有太多的 iOS 漏洞,所以我们最近也开始拒绝一些漏洞。归功于谷歌和三星的安全团队,Android 的安全性随着每一次操作系统的版本更新都在提高,开发全套的安卓破解工具变得非常困难和费时,甚至很难在不需要任何用户交互的前提下进行零点击攻击。
Bekrar 补充道,Zerodium 设立的最高奖金集中在谷歌、三星、华为和索尼的设备。他写道:其他设备的漏洞也很吸引人,但它们的价格将根据具体情况而定。
Zerodium 的新标价与前几年的数字形成了鲜明对比。2015 年,该公司发布了最初始的价格适中的零日价目表,其中针对 iOS 攻击的报价高达 50 万美元,针对Android 黑客技术的报价最高仅为 10 万美元。
尽管 Zerodium 是唯一一个公开零日价格列表的公司,但它标出的价格表并不一定代表执法机构和间谍机构等其他零日收购商可能会为新的黑客工具支付多少钱。一些安全行业的人士认为,Zerodium 的名单在很大程度上是该公司的营销工具,旨在影响价格,而不是记录价格。
但独立的安全漏洞研究人员、现已解散的漏洞收购公司 Q-Recon 的创始人施瓦茨 (Maor Shwartz) 表示,这些变化与他自己的观察相符。
现在大多数人的目标都是 Android,漏洞越来越少,因为很多漏洞都已经被修复了。从一年前开始,客户就会问我,你知道谁在为安卓系统工作,知道有什么漏洞吗?我开始有一种预感,市场正在发生变化。
施瓦茨表示针对高端 Android 手机的网络攻击,现在可以以超过 200 万美元的非独家价格出售,这意味着研究人员可以以这个价格将漏洞卖给多个买家。他说一次基于网络的 iPhone 攻击的非独家售价约为 150 万美元。他说,这个比例也较为通用:Android 攻击的价格通常为 iPhone 价格的 30% 左右。
施瓦茨认为由于 Chrome 的安全性相对于 Safari 更高,通过 Android 手机浏览器入侵目标设备的难度要比入侵 iOS 大得多。但他表示 Android 漏洞愈发昂贵的真正原因是,很难找到针对 Android 的所谓 “本地权限提升” 漏洞。这种漏洞可以使攻击者在站稳脚跟后对手机进行更深入的控制。很大程度上是因为 Android 手机增强了其安全措施,在 Android 上发现 LPE 漏洞的难度现在和在 iOS 上发现 LPE 漏洞一样难。再加上很难找到一个容易被黑客攻击的浏览器漏洞来启动攻击,这使得 Android 在总体上变成了一个更困难、价值更高的目标。
施瓦茨认为 Android 的安全性之所以会提高,部分是因为其开源策略终于得到了回报。当 Apple 一直保持其操作系统的封闭性,即使是善意的安全研究人员也很难发现其 bug(随着其扩张并试图开展悬赏计划,这也是 Apple 需要解决的一个问题),Android 开源策略意味着有更多的人会看到它的代码。虽然这种策略在一开始带来了更多的 bug,但随着时间的推移,这些漏洞已经得到了修复,其操作系统也越来越坚固。施瓦茨表示:随着大量的漏洞被修复,攻击面也大大减少。”
由于长期依赖第三方制造商和运营商,Android 一直存在安全补丁问题。这些并没有体现在 Zerodium 的价目表中,因为该公司关注的是补丁已经打好的设备上的零日漏洞。
如果你想赚钱,就主攻 Android。
但值得称道的是,Google 一直在慢慢地降低 Android 手机内部对黑客的友好程度,包括今天发布的 Android 10:它增加了新的基于文件的加密,并改造了 “沙箱” (sandbox),使得人们无法从操作系统的其他部分访问应用程序。
事实上,谷歌多年来一直在通过增加解决方案,使得设备在出现新的安全漏洞时,也很难被入侵。例如在 2018 年,Google 引入了控制完整性 (Control Flow Integrity),旨在防止恶意程序在内存中进行跳转来绕过一个较老的安全措施(随机化内存中的代码位置),以及整数溢出处理 (Integer Overflow Sanitization), 旨在防止这种类型的错误像在 2015 年那样,被一类名为 Stagefright 的攻击所利用。
但是施瓦茨指出,除了这些应对方案之外,iOS 零日漏洞最初较高的价格也吸引了安全研究人员的极大关注,导致针对 iOS 的攻击相对过剩。上周这些攻击的绝对数量也引人瞩目,当时 Google 透露一次黑客活动利用了 5 个完全不同的 iOS 漏洞,通过网站感染了数千名受害者的手机。Google 在上个月披露的另一项发现中,该公司的安全研究员 Natalie Silvanovich 发现了至少 6 次针对 iOS 的零点击攻击。
施瓦茨表示除了 Android 增强了安全措施之外,对iOS 和 Android 的关注失衡也推动了 Android 零日漏洞的价格上涨。对于高风险的安卓用户来说,这些高价并不会让他们感到舒服;高昂的悬赏可能实际上意味着需要对操作系统进行一轮更深入的漏洞研究。
现在确实对 Android 的漏洞有需求,而且由于有缺口,价格一直在飞涨。我告诉每一个和我谈话的研究人员,如果你想赚钱,就主攻 Android。