购买并向政府和执法部门转售软件利用代码的公司 Zerodium 刚刚更新了价格表。安卓利用代码的价格首次超过 iOS 利用代码价格。Zerodium 表示,从现在开始,安卓零点击(无用户交互)利用链可获得的赏金最高达250万美元。而类似影响 iOS 系统的利用链仅可获得200万美元的赏金。Zerodium 这次对安卓利用代码的出价几乎是去年的12倍,去年给出的最高安卓漏洞的价格是20万美元;甚至是影响较低的安卓利用代码价格的100倍。谷歌将在今天晚些时候发布安卓10版本,而 Zerodium 恰恰在此时推出安卓漏洞价格。谷歌发言人并未置评。
同时,Zerodium还宣布称提高了对即时通讯客户端利用代码的支付价格,而不管该客户端运行的操作系统是什么。如果研究人员能够在WhatsApp 或 iMessage 中找到由无用户交互(零点击)远程代码执行漏洞和一个本地提取漏洞组成的利用链,则可获得150万美元的赏金,即使实现不了重启持久性也不例外。如果需要用户交互,则该利用链的赏金/价格分别降到100万美元(WhatsApp) 和50万美元 (iMessage)。去年,这两款即时通讯 app 中类似漏洞的价格最高为50万美元。Zerodium 在该公司的官方推特账户上指出,“根据市场趋势”更新价格。这一说法和Zerodium 首席执行官 Chaouki Bekrar 在3月份的一次访谈中的说法吻合。当时正值该公司推出了针对基于云技术的 0day 收购计划。Bekrar 表示,Zerodium 公司的客户要求具体的利用链,而Zerodium 通过提高对利用报告的赏金作为回应。也就是说,Zerodium 之所以给出如此高的价格可以理解为:全球范围内的执法部门和政府机构突然对购买安卓设备软件利用代码的兴趣提高。当ZDNet 媒体询问Bekrar 安卓的市场份额是否影响Zerodium 公司接受何种漏洞时,他表示他们“主要关注的是谷歌、三星、华为和索尼设备”,虽然也接受其它品牌设备的软件利用代码,但基于具体案例而定。在此之前,不止是Zerodium,多数利用代码经纪商都向 iOS 利用代码开出更高的价格,原因是 iPhone 在同样的硬件上运行,而且多数是最新状态的硬件,这就使得苹果能够更好地保证设备的安全,而黑客更难入侵这些设备。与之相反,数十家安卓原始设备制造商根据不同的硬件标准制造设备,而如今多数安卓设备无可救药地已经过时了,原因是移动运营商和设备供应商多年来未能及时地推出 OTA 安全更新。Bekrar 进一步解释了这种情况和这两种操作系统的安全功能如何影响了 Zerodium 在安卓0day 利用代码方面的出价。他表示,“数月以来,我们发现 iOS 利用代码的数量有所增长,多数是 Safari 和 iMessage 利用链,它们由全球的研究人员开发并出售。0day 市场被 iOS 利用代码所淹没,因此最近开始我们已在拒收某些漏洞。而另一方面,在谷歌和三星安全团队的努力下,每次安卓操作系统的发布都改进了安卓的安全性,因此要开发出完整的安卓利用链变得更加困难也更加耗时,甚至更难以开发出无需用户交互的 0day 利用代码。”他还指出,“根据新出现的这些安卓安全挑战以及我们对安全趋势的判断,我们认为是时候将最高赏金分配给安卓利用代码了,直到苹果公司重新改进 iOS 安全性并加强其最薄弱环节即 iMessage 和 Safari (Webkit 和沙箱)。”
你在挖洞时,遇到了哪些开心的和不开心的?欢迎在留言区和我们分享~
原文链接
https://www.zdnet.com/article/android-exploits-are-now-worth-more-than-ios-exploits-for-the-first-time/
题图:Pixabay License
文内图:Zerodium
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。