六个月前,Google发布了一项针对Android系统的入侵奖金计划,该计划提出只要有谁可以在仅知道受害者的电话号码和电子邮件的前提下远程侵入安卓设备,那么将会获得谷歌提供的20万美金的高额奖金。不过令人尴尬的是,该奖金计划至今无人问津。
虽然这听起来像是个好消息,像是证明了安卓系统足够的安全性。但是真的是因为这个原因,才导致的该计划遭人冷落吗?其实事实并非如此,早在该计划提出的初期就有人指出,20万美金的奖金实在太低,因此也不会有人愿意参与该入侵奖金计划。
一位用户在去年九月份在原公告下,如是回复:“如果可以实现像该入侵奖金计划说的那样,我觉得这个漏洞可以以更高的价格出售给其他公司或实体。”
另外一个人说:“许多买家可以支付远超这个金额的价钱,200K美金不值得我们在干草堆下去找针。”
迫于人们的说辞Google不得不被迫承认这一点,并在本周的一篇博文中指出,“考虑到要赢得这场比赛的bug类型,我们的奖金可能真的太低了。”据该公司的安全团队说,之所以人们对于该奖金计划缺乏兴趣,原因可能是因为这些漏洞的高度复杂性,以及不规则的市场竞争导致的。
为了在Android设备上获得root或内核权限,攻击者必须将多个漏洞结合在一起利用。例如他们至少需要获取一个系统的缺陷,并利用该缺陷在该设备上远程代码执行,然后还需要一个特权提升漏洞来转义应用程序沙箱。
而根据官方公布的Android每月安全公告可以知道,Android并不存在所谓的特权提升漏洞。然而在Google这次的入侵奖金计划中却明确要求,参赛者不允许与目标用户产生任何过多形式的交互。这也就意味着,攻击者需要在没有用户点击恶意链接,访问恶意网站,或接收打开恶意文件等前提下,实现对目标安卓系统的成功利用。
这个规则大大限制了研究人员可以用来攻击设备的切入点。因此我们要找的第一个漏洞切入点,将不得不在位于操作系统的内置消息传递功能如SMS(短信服务)或MMS(彩信服务)上 –它们都可能会受到蜂窝网络的攻击。
早在2015年的时候,移动安全公司Zimperium的研究人员,就曾在Android核心媒体处理库中发现了符合该类漏洞标准的,一个名为Stagefright的漏洞。攻击者只需简单的将特制的媒体文件存放到设备上,就可以成功利用。该漏洞在当时也引发了大范围的修补潮。
这样一来,攻击者只需向目标用户发送彩信(MMS),并且不需要再与他们产生任何其他的交互,就可以成功的利用攻击者的设备。
在该漏洞被曝出后,许多类似的漏洞也在Stagefright和其它一些Android媒体处理组件中被挖掘出来。为此Google更改了内置消息传递应用的默认行为,不再自动进行彩信的检索,因此对该漏洞的利用也几乎成为了不可能。
Zimperium的创始人兼董事长Zim Avraham在一封电子邮件中说道:“远程的,无交互的bug是非常罕见的,需要很多的创造力和复杂性。这些东西的价值也足以超过20万美金的奖金。
一家名为Zerodium的漏洞收购公司,也为远程Android越狱提供了20万美元的漏洞奖金,但他们并没有对用户的交互做限制。
让我们来思考一个问题,既然在黑市可以通过一些简单的攻击,就能获取相同甚至更多的金额,那么为什么还要设立如此高难度的攻击项目呢?
Google的Project Zero团队成员Natalie Silvanovich在博客中表示:“总的来说,这次比赛是一次学习经历,我们希望把我们学到的东西,放到Google的奖励计划和未来的比赛当中。”最后,该团队也希望安全研究人员能积极的提出他们的意见和建议。
虽然这次Google的入侵奖金计划失败了,但是不可否认Google多年以来所执行的许多成功的安全奖励计划,包括软件和在线服务。
作为厂商来讲,是不可能像那些网络罪犯或漏洞经纪人那样,以高价来收购那些安全漏洞的。而厂商的漏洞悬赏项目,也仅针对那些有责任心的安全研究人员所设立。
本文转自d1net(转载)