谷歌的20萬美元漏洞懸賞幾乎無人問津

日期: 2017-04-03 09:33:45 人氣: -

六個月前,谷歌擲出了一個20萬美元的漏洞懸賞項目公告,大意是:

誰能在僅知道受害者電話號碼和電郵地址的情況下,遠程入侵對方的 Android 設備,20萬美元的獎金,少俠拿好請慢走!

幾乎無人迎戰。(幾乎二字幾乎可以去掉)

聽起來似乎是個好消息,這說明谷歌家的移動操作系統的安全性強?但這似乎不是理由,再安全的系統性也會有人愿意來挑戰。真正的理由,其實從這個叫"Zero prize"的漏洞懸賞計劃推出時就有人指出來了:

一個不依靠用戶交互就能遠程搞定設備權限的漏洞來說,20萬美元真是少的令人發指!

一個用戶在懸賞公告下方留言:“要是誰真的能做到這個,把漏洞賣給其他公司或者機構,早就賺翻了!”

市場不騙人,幾個月后谷歌自己也被迫承認了這一點。于是就在上周(當地時間3月30日),他們發布了一篇博文表示:

考慮到比賽規則的難度,獎金數額確實是有點太低了。不過除了獎金太少,還可能和漏洞利用的高復雜性,以及規則太嚴格有關。

據小編了解,要遠程獲得一臺設備的 Root 權限或者完全控制這臺設備,攻擊者可能得需要一連串的漏洞才能實現。要實現遠程攻擊,攻擊者最起碼要在手機應用中找到一個遠程代碼執行漏洞,要完全控制這臺設備,又得需要一個權限提升漏洞來逃逸出應用程序的沙箱。

在這種情況下,谷歌還要求參賽者不借助用戶交互的情況下完成攻擊。也就是說,攻擊者不能誘導用戶去點擊任何惡意鏈接、訪問惡意網站、接受和打開任何文件等等。只需知道對方一個手機號碼和電子郵件就直接搞定對方的設備。

谷歌的20萬美元漏洞懸賞幾乎無人問津,被指錢太少沒誠意!

這些嚴苛的規定明顯限制了研究人員的攻擊手法 —— 既然不能讓受害者點擊鏈接,誘導其下載APP,那么就只能是在手機內置的短信應用,或者在手機的固件、電話應用、蜂窩網絡等底層軟件來下文章了。

這無異于綁手綁腳了,最關鍵的是錢還給的少。

連安全公司Zimperium 的創始人兼董事長Zuk Avraham也忍不住在郵件中吐槽 (小編注:Zimperium 就是傳奇黑客凱文·米特尼克加盟的去年那家安全公司):

遠程操作,不需要交互就能實現的BUG是非常少見的,需要開相當大的腦洞并結合高超的技藝才有可能實現,這個價值已經遠遠超過了20萬美元了。

說來也巧,一家叫 Zerodium 的“安全漏洞軍火商”公司也開出了20萬美元的價格收購 Android 系統的漏洞,但是他們并沒有限制攻擊者使用鏈接、釣魚等需要用戶交互的手法。 一般情況下, Zerodium 收了這些漏洞之后會出售給執法機構和情報機構等客戶。

對于技術人員來說,既然價格都是20萬美元,為什么要在同樣價格的情況下,去選一個難度更高的破解任務呢?還更別說在地下黑市,這些漏洞可能賣到更高的價格。

技術漏洞價值如何平衡?

盡管谷歌這一次的漏洞懸賞由于難度設置得太高,導致項目有些小失敗。但是谷歌在技術漏洞懸賞方面,的確位于世界公司和機構的先列,此前他們也做過很多非常成功的安全獎勵計劃。

在技術漏洞的價值上,也一直存在一些爭議。此前,小編發布了一篇名為《什么樣的漏洞買得起北京二環一套房?》的文章。當時就有一位國內的網絡安全專家直言不諱地告訴小編編輯:

技術漏洞的價值一直被嚴重低估,只有靠PR(公關活動)找回。國際巨型公司舉牌價格有的比黑市低很多,好幾倍,這就像個笑話。

這讓小編編輯不禁聯想到2015年安全團隊VUPEN 團隊吐槽知名黑客破解大賽 Pwn2own的事情。2015年,Pwn2Own 黑客大賽招募在即,此前的大贏家、首個公開破解Chrome瀏覽器的頂級黑客團隊VUPEN 卻宣布放棄。他們的團隊創始人在社交媒體上公開吐槽:

你TM是在逗我嗎?削減了獎金,然后大大提高難度,等2016年我再看看吧……


上篇:沒有了

下篇:“雄安”互聯網域名喊價176萬 至...

广西快3技巧