就在前两天,国外漏洞交易平台Zerodium再次更新了符合条件的Android和iOS 0 day漏洞的相关报价。我们发现,在这一次更新之后,是该平台自2015年成立以来第一次Android的0 day价格超过了iOS的0 day价格。
Zerodium简介
Zerodium是目前行业内首屈一指的漏洞收购平台,专门提供优质的0 day漏洞利用服务和先进的网络安全功能。他们喊出的口号是:“我们只支付巨额奖金,而不是普通的漏洞奖励。”自该平台成立以来,Zerodium也一直都在改进他们的漏洞奖励计划和漏洞支付金额,并不断扩充他们所支持的软件列表。
Zerodium的创始人名叫贝克拉(Chaouki Bekrar),在所谓的安全漏洞灰色市场中,此人大名鼎鼎。除了这家安全公司之外,他还在法国巴黎开办了一家名为Vupen的公司。这家法国公司的业务颇受争议,他们专门开发针对知名软件的攻击手段,然后将漏洞和攻击方式转让给全世界的政府情报部门。美国媒体指出,通过高价征集iOS9的漏洞,贝克拉实际上已经成为一种“黑客中间人”的角色。
Android 0 day价格首次超iOS 0 day
此次价格更新是Zerodium通过国外社交网站Twitter发布的,Zerodium的研究人员还在Twitter上表示,iMessage和WhatsApp的 0-Click漏洞回报同样有所增加,但根据目前市场的发展趋势,iOS 的1-Click漏洞汇报将有所减少。非持久化RCE+LPE 0-Click漏洞的漏洞利用攻击向量目前已涨价到了一百五十万美金,而这种漏洞利用攻击向量的价格约为一百万美金左右。
就在前两天,Zerodium还引入了新的漏洞利用类别。Android平台的0-Click漏洞完整利用链目前的价格为二百五十万美金,而针对苹果iOS的持久化攻击技术或漏洞利用向量价值仅为五十万美金。
特殊的0 day漏洞奖金更高了
除了某些漏洞奖金涨价了之外,Zerodium平台同样也降低了某些漏洞的奖金,比如说针对苹果iOS的1-Click漏洞持久化完整利用链价格从之前的一百五十万美金降低到了目前的一百万美金,而针对iMessage的RCE+LPE(1-Click)非持久化漏洞利用链价格相比之前也降价了五十万美金。
Zerodium的研究人员表示:“Zerodium平台向研究人员支付的0 day漏洞金额,取决于受影响软件或系统的流行程度、安全级别,以及他们所提交的漏洞质量,其中涉及到漏洞利用链是否完整,支持的版本、系统和架构类型,漏洞利用向量的可靠性,以及是否能够绕过一些安全防护措施等等。”
该公司表示,Zerodium平台上列举出来的0 day漏洞支付金额只是参考价格,目的是为了收集到功能更加全面的漏洞利用攻击向量或代码,如果研究人员能提供更加强大的漏洞利用向量,或提交的漏洞能够满足“更高的要求”,那么我们Zerodium也愿意支付更加巨额的奖金,这一点是毋庸置疑的。
根据Zerodium平台的官方声明,Zerodium会在一个星期或是更短的时间内对研究人员提交上来的漏洞报告进行评估和验证,如果漏洞的验证结果符合Zerodium平台条件,Zerodium将会通过银行现金转账或加密货币(例如比特币或门罗币)一次性或多次分期付款的形式给研究人员支付漏洞奖金,而且第一笔付款肯定会在一周之内完成并到账。
iOS漏洞已呈现出“通货膨胀”的趋势
Zerodium的首席执行官Chaouki Bekrar在接受BleepingComputer的采访时表示:“在过去的几个月里,我们的研究人员发现针对iOS的漏洞利用数量有所增加,其中大部分都是针对Safari和iMessage的漏洞利用链,而且世界各地的研究人员大部分也都在针对这类漏洞利用向量在进行研究、开发和销售。目前的0 day漏洞市场上,iOS漏洞已经接近饱和,因此我们最近也在减少iOS漏洞的采集数量。从另一方面来看,谷歌和三星的安全团队一直都在致力于Android平台安全性的提升,因此Android操作系统的安全性在其每一个新版本中都得到了显著提升,这也导致针对Android平台的完整漏洞利用链开发难度变得越来越高,而且耗时也越来越长。如果攻击者想要开发出不需要任何用户点击或交互就可以利用的漏洞向量,则是更加的难上加难。”
考虑到目前漏洞市场上的这种新型环境和趋势,Zerodium决定提升Android漏洞的奖励金额,直到苹果重新将iOS系统的安全性提升到新的“层次”为止(提升iMessage和Safari这两个薄弱环节的安全性,其中涉及到Webkit和沙盒)。
当被问到WatsApp 0-Click漏洞利用奖金增长的背后有何特殊原因时,Zerodium的首席执行官表示,价格增长,当然是因为市场对WhatsApp漏洞的需求普遍增加啦!
市场上也有很多人希望购买高质量的0 day漏洞
在今年的五月初,该公司还在其收购漏洞列表中新增了一类新型漏洞,即“针对三星S10/S9安全引导加载程序(S-boot)的漏洞”,在这类漏洞的帮助下,攻击者可以通过物理访问设备来实现任意代码执行、安全防护绕过或非法数据访问。不过目前Zerodium只添加了针对Exynos机型的Android 9或Android 8的支持。
两个月前,Zerodium还宣布称,他们正在积极寻找并有意向购买针对VMware ESXi (vSphere)或Microsoft Hyper-V的漏洞,而相关的漏洞功能是为了实现客户主机逃逸。可靠的0 day漏洞利用向量,将允许攻击者在默认配置下的目标主机中获取完整的访问权,这类漏洞价格目前已高达五十万美金。
实际上,Zerodium目前并不是“0 day漏洞收购市场”上唯一的一家公司,比如说,Crowdfense在2018年4月份也推出了一个一千万美元的漏洞奖励计划。Crowdfense的负责人还表示:“2019年,我们还将提供一个规模更大奖金更高的漏洞收购计划,价格约为一千五百万美金,并将可支持收购的漏洞涵盖范围扩大到网络硬件设备、WiFi/基带和消息发送器等其他重要的研究领域上。此前为报告过的完整漏洞利用链价格区间目前为十万美元到三百万美元不等,其他的部分漏洞利用链收购价格将根据具体情况进行评估,并按评估比例定价收购。”