漏洞掮客花费1700万公开收购安卓攻击链漏洞 收购价是iOS漏洞的2.5倍
对黑客和漏洞搜索者来说接下来这则消息估计算是好消息,不过对于全球数十亿安卓用户来说那倒是可怕的消息。
日前美国某信息安全公司正在公开收购安卓等移动操作系统的漏洞,其中针对安卓系统完整攻击链漏洞价格最高。
这家信息安全公司实际上就是我们常说的漏洞掮客,该公司与黑客以及研究人员合作收购高危漏洞然后进行转卖。
该信息安全公司提供的报价表显示 , 如果能提供安卓系统的完整攻击链漏洞那么可以获得250万美元的漏洞赏金。
前提是这枚安全漏洞无需用户进行任何交互,例如不需要用户下载安装恶意软件、也不需要用户进行任何点击等。
当然既然提供如此高的赏金也可以看出来这类漏洞是多么的可怕,可以在用户完全不知情的情况下悄悄进行渗透。
实际上完整攻击链漏洞也是谷歌高额悬赏的漏洞,在谷歌提供的漏洞赏金计划里完整攻击链漏洞的赏金也是最高。
当然与漏洞掮客相比谷歌提供的赏金少得可怜了,因此可能会有研究人员愿意把漏洞卖掉而不是将其通报给谷歌。
从报价表上我们也可以看到iOS系统的完整攻击链漏洞收购价为100万美元,而且还允许漏洞需要靠用户点击1次。
当然这并不能说明安卓和iOS 系统哪个更加安全,从报价表来看似乎漏洞掮客更看中的是系统或应用的使用人数。
例如Apple iMessage的无需点击漏洞可以获得150万美元赏金 , 脸书的WhatsApp无需点击漏洞也有150万美元。
这似乎可以证明这些漏洞的潜在买家们现在更看重即时通讯工具,或许这类用户使用频次较高的应用是渗透热点。
漏洞掮客在网站写道:我们支付大笔奖金而不是漏洞赏金
估计有网友会想着漏洞掮客收购漏洞就花费如此高昂,那还有人买得起这些漏洞吗?很显然有而且还是供不应求。
美国这家信息安全公司的客户实际上都是执法机构或者由国家支持的间谍机构,买来漏洞开发高级别的攻击工具。
例如此前苹果拒绝美国警方要求将犯罪嫌疑人的手机解锁,最后美国警方直接找以色列安全公司将 iPhone 解锁。
而美国国家安全局此前也被发现囤积大量安全漏洞开发高级别工具进行攻击,显然这些机构对于漏洞价格不在乎。
除上述执法机构购买漏洞和工具的案例外,实际上此前也有很多国家支持的间谍机构购买漏洞然后用来进行渗透。
这也是很多级别较高的安全漏洞供不应求的原因,毕竟每个机构都想独家购买漏洞秘密展开攻击防止漏洞被修复。