您現(xiàn)在的位置:海峽網(wǎng)>新聞中心>IT科技>科技數(shù)碼
分享

六個月前,Google擲出了一個20萬美元的漏洞懸賞項目公告,大意是:

誰能在僅知道受害者電話號碼和電郵地址的情況下,遠(yuǎn)程入侵對方的Android設(shè)備,20萬美元的獎金,少俠拿好請慢走!

幾乎無人迎戰(zhàn)。(幾乎二字幾乎可以去掉)

聽起來似乎是個好消息,這說明Google家的移動操作系統(tǒng)的安全性強(qiáng)?但這似乎不是理由,再安全的系統(tǒng)性也會有人愿意來挑戰(zhàn)。真正的理由,其實從這個叫"Zeroprize"的漏洞懸賞計劃推出時就有人指出來了:

一個不依靠用戶交互就能遠(yuǎn)程搞定設(shè)備權(quán)限的漏洞來說,20萬美元真是少的令人發(fā)指!

一個用戶在懸賞公告下方留言:“要是誰真的能做到這個,把漏洞賣給其他公司或者機(jī)構(gòu),早就賺翻了!”

市場不騙人,幾個月后Google自己也被迫承認(rèn)了這一點,于是就在上周(當(dāng)?shù)貢r間3月30日),他們發(fā)布了一篇博文表示:

考慮到比賽規(guī)則的難度,獎金數(shù)額確實是有點太低了,不過除了獎金太少,還可能和漏洞利用的高復(fù)雜性,以及規(guī)則太嚴(yán)格有關(guān)。

據(jù)雷鋒網(wǎng)了解,要遠(yuǎn)程獲得一臺設(shè)備的Root權(quán)限或者完全控制這臺設(shè)備,攻擊者可能得需要一連串的漏洞才能實現(xiàn)。要實現(xiàn)遠(yuǎn)程攻擊,攻擊者最起碼要在手機(jī)應(yīng)用中找到一個遠(yuǎn)程代碼執(zhí)行漏洞,要完全控制這臺設(shè)備,又得需要一個權(quán)限提升漏洞來逃逸出應(yīng)用程序的沙箱。

在這種情況下,Google還要求參賽者不借助用戶交互的情況下完成攻擊。也就是說,攻擊者不能誘導(dǎo)用戶去點擊任何惡意鏈接、訪問惡意網(wǎng)站、接受和打開任何文件等等。只需知道對方一個手機(jī)號碼和電子郵件就直接搞定對方的設(shè)備。

Google 20萬美刀懸賞漏洞:尷尬癌犯了

這些嚴(yán)苛的規(guī)定明顯限制了研究人員的攻擊手法——既然不能讓受害者點擊鏈接,誘導(dǎo)其下載APP,那么就只能是在手機(jī)內(nèi)置的短信應(yīng)用,或者在手機(jī)的固件、電話應(yīng)用、蜂窩網(wǎng)絡(luò)等底層軟件來下文章了。

這無異于綁手綁腳了,最關(guān)鍵的是錢還給的少。

連安全公司Zimperium的創(chuàng)始人兼董事長ZukAvraham也忍不住在郵件中吐槽 (雷鋒網(wǎng)注:Zimperium就是傳奇黑客凱文·米特尼克加盟的去年那家安全公司):

遠(yuǎn)程操作,不需要交互就能實現(xiàn)的BUG是非常少見的,需要開相當(dāng)大的腦洞并結(jié)合高超的技藝才有可能實現(xiàn),這個價值已經(jīng)遠(yuǎn)遠(yuǎn)超過了20萬美元了。

說來也巧,一家叫Zerodium的“安全漏洞軍火商”公司也開出了20萬美元的價格收購Android系統(tǒng)的漏洞,但是他們并沒有限制攻擊者使用鏈接、釣魚等需要用戶交互的手法。一般情況下,Zerodium收了這些漏洞之后會出售給執(zhí)法機(jī)構(gòu)和情報機(jī)構(gòu)等客戶。

對于技術(shù)人員來說,既然價格都是20萬美元,為什么要在同樣價格的情況下,去選一個難度更高的破解任務(wù)呢?還更別說在地下黑市,這些漏洞可能賣到更高的價格。

技術(shù)漏洞價值如何平衡?

盡管Google這一次的漏洞懸賞由于難度設(shè)置得太高,導(dǎo)致項目有些小失敗,但是Google在技術(shù)漏洞懸賞方面,的確位于世界公司和機(jī)構(gòu)的先列,此前他們也做過很多非常成功的安全獎勵計劃。

在技術(shù)漏洞的價值上,也一直存在一些爭議。有一位國內(nèi)的網(wǎng)絡(luò)安全專家直言不諱地告訴雷鋒網(wǎng)編輯:

技術(shù)漏洞的價值一直被嚴(yán)重低估,只有靠PR(公關(guān)活動)找回。國際巨型公司舉牌價格有的比黑市低很多,好幾倍,這就像個笑話。

這讓雷鋒網(wǎng)(公眾號:雷鋒網(wǎng))編輯不禁聯(lián)想到2015年安全團(tuán)隊VUPEN團(tuán)隊吐槽知名黑客破解大賽Pwn2own的事情。

2015年,Pwn2Own黑客大賽招募在即,此前的大贏家、首個公開破解Chrome瀏覽器的頂級黑客團(tuán)隊VUPEN卻宣布放棄。他們的團(tuán)隊創(chuàng)始人在社交媒體上公開吐槽:

你TM是在逗我嗎?削減了獎金,然后大大提高難度,等2016年我再看看吧……

Google 20萬美刀懸賞漏洞:尷尬癌犯了

從“漏洞軍火商”Zerodium發(fā)布的漏洞收購金額來看,確實商業(yè)收購的價格比此前各種大賽提供獎金要更高。

Google 20萬美刀懸賞漏洞:尷尬癌犯了

【zerodium提供的漏洞收購價】

一方面,技術(shù)漏洞的價值確實不能完全用金錢來衡量,漏洞挖掘者可能是為了技術(shù)榮耀,或是本著極客的心態(tài)來單純地挑戰(zhàn)技術(shù)高峰;但另一方面,漏洞價值不能用錢來衡量,也并不能成為低估漏洞價值的理由。畢竟有些破解方法需要技術(shù)人員花上畢生所學(xué),有時還需要一些運(yùn)氣,付出巨大的努力之后才能找到。

類似Pwn2Own這樣的頂級黑客賽事每年也會調(diào)整獎金和破解的規(guī)則,以適應(yīng)實際情況。

如果撇開黑客比賽和懸賞的其他意義,單從獎金方面來看,廠商確實是大贏家,他們通過發(fā)放不算太高的獎金就能獲得如此多的高技術(shù)含量的漏洞和利用方法。

但是對于技術(shù)人員來說,挖掘漏洞、提交給廠商、參加黑客比賽,這些可能涉及到金錢、榮譽(yù)、正義、風(fēng)險、道德等各個方面的問題。

如何既照顧到技術(shù)研究者付出的心力,又不失去原本漏洞研究的意義,本身就是一門高深的學(xué)問。但在雷鋒網(wǎng)編輯看來,漏洞懸賞不是一個單純的市場行為,它更有種行俠仗義的豪氣、拾金不昧的高尚,和技術(shù)改變世界的情懷在其中。

責(zé)任編輯:海凡

最新科技數(shù)碼 頻道推薦
進(jìn)入新聞頻道新聞推薦
年終盤點:過去這一年中國為全球經(jīng)濟(jì)增
進(jìn)入圖片頻道最新圖文
進(jìn)入視頻頻道最新視頻
一周熱點新聞
下載海湃客戶端
關(guān)注海峽網(wǎng)微信
?

職業(yè)道德監(jiān)督、違法和不良信息舉報電話:0591-87095414 舉報郵箱:service@hxnews.com

本站游戲頻道作品版權(quán)歸作者所有,如果侵犯了您的版權(quán),請聯(lián)系我們,本站將在3個工作日內(nèi)刪除。

溫馨提示:抵制不良游戲,拒絕盜版游戲,注意自我保護(hù),謹(jǐn)防受騙上當(dāng),適度游戲益腦,沉迷游戲傷身,合理安排時間,享受健康生活。

CopyRight ?2016 海峽網(wǎng)(福建日報主管主辦) 版權(quán)所有 閩ICP備15008128號-2 閩互聯(lián)網(wǎng)新聞信息服務(wù)備案編號:20070802號

福建日報報業(yè)集團(tuán)擁有海峽都市報(海峽網(wǎng))采編人員所創(chuàng)作作品之版權(quán),未經(jīng)報業(yè)集團(tuán)書面授權(quán),不得轉(zhuǎn)載、摘編或以其他方式使用和傳播。

版權(quán)說明| 海峽網(wǎng)全媒體廣告價| 聯(lián)系我們| 法律顧問| 舉報投訴| 海峽網(wǎng)跟帖評論自律管理承諾書

友情鏈接:新聞頻道?| 福建頻道?| 新聞聚合