8
| 本文作者:温晓桦 | 2015-09-22 12:59 |
上周使得iOS平台被曝出现安全漏洞的“XCodeGhost”事件闹得沸沸扬扬,外界甚至觉得苹果系统的安全信誉其实也不那么牢固。事实上,iOS系统也并非牢不可破,除了XCodeGhost事件,iOS系统还有其他已被黑客攻破的漏洞。
据美国科技新闻网站“连线”报道,本周一,网络安全行业里最大的一笔漏洞收购交易曝光了:收购/销售产品安全漏洞的Zerodium公司近日宣布,该公司设置了超过300万美元(约合1900万人民币)的奖池来悬赏那些在iOS 9系统中找到漏洞的黑客。
Zerodium是一家向政府和企业销售安全漏洞套装和间谍工具的供应商,根据该公司发布的悬赏榜,黑客在10月31日之前提交的前三个iOS 9 0-Day漏洞能够获得每个漏洞最高100万美元的奖金。
所谓“零日漏洞”(zero-day)又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞,相关的厂商甚至来不及发布补丁修补漏洞,防御难度极大。也因为如此,在黑客灰色产业链中,“零日漏洞”的价值远远超过常规的漏洞。
据报道,Zerodium本次征集的iOS 9系统漏洞,是那些可以被用来通过远程方式攻击苹果手机或平板,或是通过网页应用、移动软件,甚至是传统短信等方式对苹果设备发动攻击的漏洞。
该公司宣称,随着安全性能的不断改进,以及修补措施做得越来越到位,苹果的iOS系统算是目前最为安全的移动操作系统。“但不要因此误以为它就是牢不可破的了,它目前的安全仅仅说明破解iOS的成本和复杂性系数最高。”
对于黑客而言,每发现一个漏洞都是心血的结晶。有了这些漏洞在手上,某些知名的越狱团队会利用漏洞之间的配合,试图研发出越狱程序,然后就进入了大家耳熟能详的三方赞助、和手机助手合作等等盈利模式。然而某些有操守的白帽子,他们会选择将漏洞提交给漏洞系统的官方开发漏洞补丁,另外微软、谷歌等公司也会通过现金的方式,对主动报告漏洞表示感谢。微软最高曾开出数十万的价位收购自家的漏洞。
而在相关厂商置之不理的情况下,某些安全公司和专家也会主动向科技媒体进行爆料,提醒相关产品的用户注意安全防范。但某些公司的做法则不同于常规,他们不会主动报告漏洞,而是通过转让来谋取利益。他们被定性为黑客灰色组织。
据了解,在某些黑客找到有价值的漏洞后,诸多灰色组织就会向其伸出橄榄枝。在不久前被曝光的意大利著名网络军火商“Hacking Team”,其内部数据就存在着大量在“漏洞市场”中“买”来的且极其危险的iOS 0Day漏洞。Zerodium的商业模式与“Hacking Team”类似。
至于Zerodium征集这些苹果iOS漏洞将用作何处,该公司并未对外宣布。目前尚不清楚该公司的转让对象是否包括不良之徒和犯罪组织。不得不提的是,Zerodium的创始人名叫贝克拉(Chaouki Bekrar),除了安全公司Zerodium,他在法国巴黎也开了一家名叫Vupen的公司。这家法国公司专门开发针对知名软件的攻击手段,然后将漏洞和攻击方式转让给全世界的政府情报部门。
外媒分析称,Zerodium高价征集iOS 9漏洞的行为,实际已相当于构成黑客灰色产业链的中间角色。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。
