谷歌的 20 万美元漏洞悬赏几乎无人问津,被指钱太少没诚意!

六个月前,谷歌掷出了一个20万美元的漏洞悬赏项目公告,大意是:

谁能在仅知道受害者电话号码和电邮地址的情况下,远程入侵对方的 Android 设备,20万美元的奖金,少侠拿好请慢走!

几乎无人迎战。(几乎二字几乎可以去掉)

听起来似乎是个好消息,这说明谷歌家的移动操作系统的安全性强?但这似乎不是理由,再安全的系统性也会有人愿意来挑战。真正的理由,其实从这个叫"Zero prize"的漏洞悬赏计划推出时就有人指出来了:

一个不依靠用户交互就能远程搞定设备权限的漏洞来说,20万美元真是少的令人发指!

一个用户在悬赏公告下方留言:“要是谁真的能做到这个,把漏洞卖给其他公司或者机构,早就赚翻了!”

市场不骗人,几个月后谷歌自己也被迫承认了这一点。于是就在上周(当地时间3月30日),他们发布了一篇博文表示:

考虑到比赛规则的难度,奖金数额确实是有点太低了。不过除了奖金太少,还可能和漏洞利用的高复杂性,以及规则太严格有关。

据雷锋网了解,要远程获得一台设备的 Root 权限或者完全控制这台设备,攻击者可能得需要一连串的漏洞才能实现。要实现远程攻击,攻击者最起码要在手机应用中找到一个远程代码执行漏洞,要完全控制这台设备,又得需要一个权限提升漏洞来逃逸出应用程序的沙箱。

在这种情况下,谷歌还要求参赛者不借助用户交互的情况下完成攻击。也就是说,攻击者不能诱导用户去点击任何恶意链接、访问恶意网站、接受和打开任何文件等等。只需知道对方一个手机号码和电子邮件就直接搞定对方的设备。

这些严苛的规定明显限制了研究人员的攻击手法 —— 既然不能让受害者点击链接,诱导其下载APP,那么就只能是在手机内置的短信应用,或者在手机的固件、电话应用、蜂窝网络等底层软件来下文章了。

这无异于绑手绑脚了,最关键的是钱还给的少。

连安全公司Zimperium 的创始人兼董事长Zuk Avraham也忍不住在邮件中吐槽 (雷锋网(公众号:雷锋网)注:Zimperium 就是传奇黑客凯文·米特尼克加盟的去年那家安全公司):

远程操作,不需要交互就能实现的BUG是非常少见的,需要开相当大的脑洞并结合高超的技艺才有可能实现,这个价值已经远远超过了20万美元了。

说来也巧,一家叫 Zerodium 的“安全漏洞军火商”公司也开出了20万美元的价格收购 Android 系统的漏洞,但是他们并没有限制攻击者使用链接、钓鱼等需要用户交互的手法。 一般情况下, Zerodium 收了这些漏洞之后会出售给执法机构和情报机构等客户。

对于技术人员来说,既然价格都是20万美元,为什么要在同样价格的情况下,去选一个难度更高的破解任务呢?还更别说在地下黑市,这些漏洞可能卖到更高的价格。

技术漏洞价值如何平衡?

尽管谷歌这一次的漏洞悬赏由于难度设置得太高,导致项目有些小失败。但是谷歌在技术漏洞悬赏方面,的确位于世界公司和机构的先列,此前他们也做过很多非常成功的安全奖励计划。

在技术漏洞的价值上,也一直存在一些争议。此前,雷锋网发布了一篇名为《什么样的漏洞买得起北京二环一套房?》的文章。当时就有一位国内的网络安全专家直言不讳地告诉雷锋网编辑:

技术漏洞的价值一直被严重低估,只有靠PR(公关活动)找回。国际巨型公司举牌价格有的比黑市低很多,好几倍,这就像个笑话。

这让雷锋网编辑不禁联想到2015年安全团队VUPEN 团队吐槽知名黑客破解大赛 Pwn2own的事情。2015年,Pwn2Own 黑客大赛招募在即,此前的大赢家、首个公开破解Chrome浏览器的顶级黑客团队VUPEN 却宣布放弃。他们的团队创始人在社交媒体上公开吐槽:

你TM是在逗我吗?削减了奖金,然后大大提高难度,等2016年我再看看吧……

从“漏洞军火商”Zerodium 发布的漏洞收购金额来看,确实商业收购的价格比此前各种大赛提供奖金要更高。

【zerodium提供的漏洞收购价】

一方面,技术漏洞的价值确实不能完全用金钱来衡量,漏洞挖掘者可能是为了技术荣耀,或是本着极客的心态来单纯地挑战技术高峰;但另一方面,漏洞价值不能用钱来衡量,也并不能成为低估漏洞价值的理由。毕竟有些破解方法需要技术人员花上毕生所学,有时还需要一些运气,付出巨大的努力之后才能找到。

类似Pwn2Own这样的顶级黑客赛事每年也会调整奖金和破解的规则,以适应实际情况。

如果撇开黑客比赛和悬赏的其他意义,单从奖金方面来看,厂商确实是大赢家,他们通过发放不算太高的奖金就能获得如此多的高技术含量的漏洞和利用方法。但是对于技术人员来说,挖掘漏洞、提交给厂商、参加黑客比赛,这些可能涉及到金钱、荣誉、正义、风险、道德等各个方面的问题。

如何既照顾到技术研究者付出的心力,又不失去原本漏洞研究的意义,本身就是一门高深的学问。但在雷锋网编辑看来,漏洞悬赏不是一个单纯的市场行为,它更有种行侠仗义的豪气、拾金不昧的高尚,和技术改变世界的情怀在其中。

本文来自开源中国社区 [http://www.oschina.net]

时间: 2024-09-25 01:30:48

谷歌的 20 万美元漏洞悬赏几乎无人问津,被指钱太少没诚意!的相关文章

谷歌的20万美元漏洞悬赏几乎无人问津,被指钱太少没诚意!

六个月前,谷歌掷出了一个20万美元的漏洞悬赏项目公告,大意是: 谁能在仅知道受害者电话号码和电邮地址的情况下,远程入侵对方的 Android 设备,20万美元的奖金,少侠拿好请慢走! 几乎无人迎战.(几乎二字几乎可以去掉) 听起来似乎是个好消息,这说明谷歌家的移动操作系统的安全性强?但这似乎不是理由,再安全的系统性也会有人愿意来挑战.真正的理由,其实从这个叫"Zero prize"的漏洞悬赏计划推出时就有人指出来了: 一个不依靠用户交互就能远程搞定设备权限的漏洞来说,20万美元真是少的

安卓漏洞悬赏飙至20万美元:竟是中国人出的招

房价涨,物价涨,漏洞悬赏金额怎么就不涨? 最近,Google发话了,将发现Android操作系统缝隙的奖金提高至20万美元. 有外媒称,Google将漏洞悬赏金额提升和数天前名为"Judy"的歹意软件损害3650万Android手机相关.事实上,Google此次将金额提升也许是个"冲动". 360安全研究员龚广的新浪微博"龚广-OldFresher"6月2日称:"在@SyScan360上给google的scott反映了广大挖洞群众对Go

苹果真土豪:找出其系统漏洞最高奖励20万美元

8月5日消息,据国外媒体报道,在黑帽网络安全大会上,苹果高管表示,该公司将向找到其软件漏洞(iOS系统等).硬件缺陷的研究人员支付最多20万美元的奖金. 苹果真土豪:找出其系统漏洞最高奖励20万美元 这是苹果首次向外界发起"捉虫奖励"(bug bounty),此前苹果只是通过内部检测其漏洞.这个项目将在9月份开启,但苹果目前表示,该项目只向指定的.受邀的研究人员开放. 苹果表示,奖励的金额和找到的漏洞的严重程度对应,有2.5万美元.5万美元等几档,最高奖励20万美元. 微软.谷歌.Fa

谷歌捉虫赏金计划最高赏金提高三倍至20万美元

据外媒报道,自从2010年推出捉虫赏金计划以来,谷歌(微博)已给安全研究人员支付了数百万美元赏金.该公司近日进一步发展了它的Android Security Rewards计划,因为"在过去两年中,没有安全研究人员得到最高奖金." Android团队准备提高两项捉虫赏金.发现TrustZone或Verified Boot远程漏洞的奖金额提高了三倍,从原来的5万美元提高到了20万美元.发现远程内核漏洞的奖金额提高了四倍,从原来的3万美元提高到了15万美元.想拿奖金?赶紧去黑Android

三星支付高达20万美元,奖励发现关键安全漏洞的人员

三星推出了一个漏洞奖励计划,向发现有可能危及设备的关键软件漏洞的人支付高达20万美元奖金.三星规定,发现的漏洞必须影响三星移动设备,服务,应用程序,或专为三星开发有三星签名的第三方软件.所有设备需要完全更新,受影响的服务必须是当前的活动服务. 设备列表包括最新的型号,如S8,S7和Note 8,也包括2016年发布的旧型号,如J3和A5.三星Galaxy S6也包含其中. 但是,三星表示,它不会为导致应用程序崩溃而无漏洞的缺陷支付奖励.当然,发现漏洞者不应该将发现的漏洞发布给公众,而是将其私下报

Android系统20万美元入侵计划无人问津,研究人员称奖金太少

六个月前,Google发布了一项针对Android系统的入侵奖金计划,该计划提出只要有谁可以在仅知道受害者的电话号码和电子邮件的前提下远程侵入安卓设备,那么将会获得谷歌提供的20万美金的高额奖金.不过令人尴尬的是,该奖金计划至今无人问津. 虽然这听起来像是个好消息,像是证明了安卓系统足够的安全性.但是真的是因为这个原因,才导致的该计划遭人冷落吗?其实事实并非如此,早在该计划提出的初期就有人指出,20万美金的奖金实在太低,因此也不会有人愿意参与该入侵奖金计划. 一位用户在去年九月份在原公告下,如是

eBay前CEO被曝曾因推搡员工赔偿20万美元

北京时间6月15日下午消息,据<纽约时报>报道,美国加州州长候选人.前eBay CEO梅格·惠特曼(Meg Whitman)素以对下属要求严格著称,不过最近她被曝曾在盛怒之下失控,推搡一名员工,因此不得不支付约20万美元和解. 多名了解内情的eBay雇员透露,2007年6月时一位名为金美英(Young Mi Kim,音译)的eBay员工在为惠特曼准备接受采访所需的材料时,引起了惠特曼的不满,而在eBay总部的一间高管会议室遭到推搡.尽管并未受伤,该员工仍然聘请了律师,威胁提起诉讼,不过经过调解

历史上最贵AppleI电脑拍出20万美元高价

Apple I电脑拍出20万美元高价 苹果电脑比一般PC要贵,但贵出这么多还是首次.日前佳士得拍卖行拍出了一台堪称史上最贵的苹果电脑,最终这台完全由手工打造的Apple I电脑由意大利收藏家Marco Boglione以20万美元的高价收入囊中. 尽管已经过去了35年以上的时间,但这台Apple I电脑依然运行正常,在都灵理工大学大学的大厅中,这台电脑在屏幕上显示出了"Hello Polito"的字样像世人证明了它的健康长寿. Apple I是苹果电脑的第一台原型机.1975年6月29

搭埃博拉疫情顺风车 Ebola.com域名卖20万美元

域名城(domain.cn)10月27日消息,埃博拉(Ebola)疫情持续延烧,迄今夺走近5000条人命,全球为此致命病毒惶惶不安之际,有人竟搭上埃博拉这个热门话题顺风车大发横财.拥有网站Ebola.com的业者,将 域名城(domain.cn)10月27日消息,埃博拉(Ebola)疫情持续延烧,迄今夺走近5000条人命,全球为此致命病毒惶惶不安之际,有人竟搭上埃博拉这个热门话题顺风车大发横财.拥有网站Ebola.com的业者,将其域名出售,换得逾20万美元的现金和股票落袋. &http://w