本文讲的是国外公司公开求购微信零日漏洞:最高开价50万美元,
专门针对移动通信应用的零日漏洞收购
街边小店,经常能看到高价回收烟酒的商店,同样在漏洞市场也有这样的公司,通过倒腾漏洞来获取利润。
近日,一家叫 Zerodium 的“安全漏洞军火商”公司开出了最高50万美元的漏洞收购价格,旨在收购目前市场上比较受欢迎的通信应用的漏洞,比如Signal、Telegram、WhatsApp以及微信。
根据分析, Zerodium 收购了了这些漏洞之后会出售给国家执法机构和情报机构、网络犯罪集团甚至被合法集团购买用于打压竞争对手。
对于技术人员来说,一般官方给出的漏洞赏金和黑市比起来都少得可怜。所以Zerodium总是能先于官方得到自己心仪的漏洞。既然价格都是20万美元,为什么要在同样价格的情况下,去选一个难度更高的破解任务呢?还更别说在地下黑市,这些漏洞可能卖到更高的价格。
零日漏洞收购价格怎样决定?
虽然Zerodium的业务比较神秘,但通过该公司的漏洞收购列表,研究人员还是能够一窥整个漏洞买卖行业背后的供应和需求情况。
技术难度
Zerodium目前的移动漏洞图收购列表如下,难度越高,开价也随之升高,可以很明显的看到微信的漏洞寻找难度还是很大的,远程代码执行和特权升级漏洞开价最高50万美元。
其中位于收购列表顶端的两个都是iOS操作系统,零日漏洞的收购价格都超过了100万美元,这也从侧面印证了iPhone的安全性是多么的高,也说明了客户对苹果用户的通信监听是多么的渴求。
攻击规模
除了技术难度外,影响应用程序的零日漏洞价格还取决于其使用的人群规模,因为使用的人群规模越大,漏洞的攻击范围就越大,利用价值就越高。
就像Zerodium创始人Chaouki Bekrar指出的,能出这么高价格的买主,通常都是一些政府机构。
目前Signal、Telegram、WhatsApp以及微信等通信应用程序已被世界各地的数十亿人使用,其中光微信一家就有将近9亿的用户。
零日漏洞收购市场分析
研究人员说,随着资本市场不断地涌入该市场,对漏洞的需求也是花样百出,比如当下,针对按需目标的零日漏洞的价格正在大幅上涨。在2016年,零日漏洞发现的数量呈现了巨大的下降,但需求却在不断上升,这就导致了当年收购价格的大涨。
回顾2015年对Bekrar的采访记录,我们发现Zerodium当时每月支付大约60万美元来收购零日漏洞。 不过根据本周三对Bekrar的最新采访,我们发现现在的已经达到每年数百万美元了。
零日漏洞收购市场的管理
一方面,挑战高难度的技术漏洞可以让技术人员扬名立万,炫耀自己漏洞挖掘技术,但另一方面,低估漏洞价值也让他们感觉不爽,毕竟有些破解方法需要技术人员花上毕生所学,有时还需要一些运气,付出巨大的努力之后才能找到。
市场不骗人,许多厂商打着漏洞悬赏和黑客大赛的幌子来发现自己的漏洞,但其给的价格有的比黑市低好几倍,怎能不叫人心寒。
所以如何既照顾到技术人员的付出,又不让漏洞流行于黑市,确实需要引起我们的共同思考。
原文发布时间为:2017年8月24日
本文作者:xiaohui
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。