N-day漏洞收购计划问世
Zimperium开始悬赏Android和iPhone漏洞利用代码,成立于2010年的 Zimperium 是一家致力于开发和设计全球顶尖移动安全技术的以色列信息安全公司,就在几天之前,该公司正式宣布他们将开始收购Android平台和iOS平台的移动端漏洞,而且这些漏洞必须是已经得到修复了的漏洞。就此看来,0-day漏洞并不是他们所感兴趣的内容,他们真正关心的是那些N-day漏洞的利用代码。
Zimperium在当地时间2月1日所举办的新闻发布会上表示,公司将在2017年提供 150万美元 的总预算来收购Google和苹果移动系统的N-day漏洞利用代码及利用方法。
0-day漏洞的魅力
所谓0-day漏洞,即未知的安全漏洞,这些漏洞既没有被公开,也没有得到厂商的修补。即便是厂商了解到了漏洞的相关信息,研发补丁并修复漏洞也需要大量的时间和精力的投入,因此网络攻击者、国家黑客、以及执法部门就可以在漏洞得到修复之前利用这些0-day漏洞来入侵目标设备。当然了,执法部门的目的可能是为了调查某些违法案件,但网络攻击者的目的可就没人能保证了。
对于目前最受欢迎的旗舰设备,例如iPhone手机,如果研究人员直接将他们所发现的0-day漏洞私下出售给第三方,而不是将漏洞直接披露给苹果公司的话,那么这些研究人员将可以赚取高达150万美元左右的“奖励”。厂商提供的漏洞奖金远没有黑市商人提供的价格高,这也就纯粹是在考验各位研究人员的“价值观”了。在2016年,安全研究专家成功帮助美国联邦调查局入侵了圣贝纳迪诺枪击案嫌疑人的iPhone手机,而 FBI也向研究人员支付了100万美金的奖励 。
Zimperium的目的
未被修复的漏洞往往是黑市商人以及网络攻击者的最爱,但Zimperium关心的却是N-day漏洞的利用方法。当厂商承认了某个安全问题确实存在,并且正在着手修复这一问题,那么所谓的N-day漏洞其中的N天表示的是:在系统收到更新推送并修复该漏洞之前的时间,在这段时间里存在漏洞的系统仍然有可能遭到攻击。
Zimperium公司表示:
“如果我们购买0-day漏洞的话,就算厂商及时开发出了相应的修复补丁,由于漏洞部署方案中存在的各种问题,很多移动设备可能永远无法接收到补丁推送,这就导致数以百万计的用户仍然处于安全风险之中。
通过将工作重心转移到N-day漏洞或者是已修复的漏洞之上,Zimperium可以直接向移动生态系统“施加压力”,并让厂商重新去思考如何更好地让用户接收并安装安全更新补丁。
除此之外,我们的漏洞收购计划只会对那些真正付出了辛勤劳动的攻击者提供奖励。”
Zimperium的研究团队zLabs将会负责评估提交上来的N-day漏洞(包括本地漏洞和远程漏洞),如果zLabs的研究专家可以复现漏洞,并利用该漏洞成功攻击旧款设备和操作系统,那么他们将会给提交漏洞的研究专家提供漏洞报价。
如果他们接受了Zimperium的报价,那么漏洞信息将会公布给Zimperium的 手机联盟(ZHA)成员,该联盟成员既包括像三星、软银、黑莓和特斯拉这样的科技巨头,也包括其他三十多家手机生产商。漏洞信息之所以要与这些第三方厂商共享,主要是因为他们都希望提高移动设备安全漏洞的修复速度,并最大程度地保障用户的信息安全。随后,Zimperium将会在一至三个月后公开漏洞利用细节,漏洞信息还将会被用于Zimperium z9威胁检测引擎之中。
Zimperium的创始人兼首席技术官Zuk Avraham表示:
“不幸的是,针对移动设备操作系统的安全修复过程是极其缓慢的,这将会使得移动设备和用户同时暴露在十几种安全威胁之下。
通过这个计划,我们的客户、合作伙伴、以及信息安全社区的研究人员都将会获取到漏洞信息以及相应的漏洞利用方法,所以我们就可以根据这些信息更好地为用户提供安全保护服务了。”