百萬美元懸賞iOS 9零日漏洞,這家公司想幹嘛


上週使得iOS平台被曝出現安全漏洞的“XCodeGhost”事件鬧得沸沸揚揚,外界甚至覺得蘋果系統的安全信譽其實也不那麼牢固。事實上,iOS系統也並非牢不可破,除了XCodeGhost事件,iOS系統還有其他已被黑客攻破的漏洞。

據美國科技新聞網站“連線”報道,本週一,網絡安全行業裏最大的一筆漏洞收購交易曝光了:收購/銷售產品安全漏洞的Zerodium公司近日宣佈,該公司設置了超過300萬美元(約合1900萬人民幣)的獎池來懸賞那些在iOS 9系統中找到漏洞的黑客。


Zerodium是一家向政府和企業銷售安全漏洞套裝和間諜工具的供應商,根據該公司發佈的懸賞榜,黑客在10月31日之前提交的前三個iOS 9 0-Day漏洞能夠獲得每個漏洞最高100萬美元的獎金。

所謂“零日漏洞”(zero-day)又叫零時差攻擊,是指被發現後立即被惡意利用的安全漏洞,相關的廠商甚至來不及發佈補丁修補漏洞,防禦難度極大。也因為如此,在黑客灰色產業鏈中,“零日漏洞”的價值遠遠超過常規的漏洞。

據報道,Zerodium本次徵集的iOS 9系統漏洞,是那些可以被用來通過遠程方式攻擊蘋果手機或平板,或是通過網頁應用、移動軟件,甚至是傳統短信等方式對蘋果設備發動攻擊的漏洞。

該公司宣稱,隨着安全性能的不斷改進,以及修補措施做得越來越到位,蘋果的iOS系統算是目前最為安全的移動操作系統。“但不要因此誤以為它就是牢不可破的了,它目前的安全僅僅説明破解iOS的成本和複雜性係數最高。”

對於黑客而言,每發現一個漏洞都是心血的結晶。有了這些漏洞在手上,某些知名的越獄團隊會利用漏洞之間的配合,試圖研發出越獄程序,然後就進入了大家耳熟能詳的三方贊助、和手機助手合作等等盈利模式。然而某些有操守的白帽子,他們會選擇將漏洞提交給漏洞系統的官方開發漏洞補丁,另外微軟、Google等公司也會通過現金的方式,對主動報告漏洞表示感謝。微軟最高曾開出數十萬的價位收購自家的漏洞。

而在相關廠商置之不理的情況下,某些安全公司和專家也會主動向科技媒體進行爆料,提醒相關產品的用户注意安全防範。但某些公司的做法則不同於常規,他們不會主動報告漏洞,而是通過轉讓來謀取利益。他們被定性為黑客灰色組織。

據了解,在某些黑客找到有價值的漏洞後,諸多灰色組織就會向其伸出橄欖枝。在不久前被曝光的意大利著名網絡軍火商“Hacking Team”,其內部數據就存在着大量在“漏洞市場”中“買”來的且極其危險的iOS 0Day漏洞。Zerodium的商業模式與“Hacking Team”類似。

至於Zerodium徵集這些蘋果iOS漏洞將用作何處,該公司並未對外宣佈。目前尚不清楚該公司的轉讓對象是否包括不良之徒和犯罪組織。不得不提的是,Zerodium的創始人名叫貝克拉(Chaouki Bekrar),除了安全公司Zerodium,他在法國巴黎也開了一家名叫Vupen的公司。這家法國公司專門開發針對知名軟件的攻擊手段,然後將漏洞和攻擊方式轉讓給全世界的政府情報部門。

外媒分析稱,Zerodium高價徵集iOS 9漏洞的行為,實際已相當於構成黑客灰色產業鏈的中間角色。


資料來源:雷鋒網
作者/編輯:鷹揚

如果喜歡我們的文章,請即分享到︰