据相关媒体报道,互联网巨头谷歌此前掷出了一份20万美元的漏洞悬赏项目公告。公告大意是:“谁能在仅知道受害者电话号码和电邮地址的情况下,远程入侵对方的Android设备,20万美元的奖金,少侠拿好请慢走!”报道称,谷歌的这笔悬赏至今竟无人肯应战,难道谷歌的移动操作系统已经强到无懈可击了吗?
当然并非如此,毕竟再安全的系统也会有人愿意面对挑战!真正的理由,其实从这个叫“Zero prize”的漏洞悬赏计划推出时就有人指出来了:“一个不依靠用户交互就能远程搞定设备权限的漏洞来说,20万美元真是少的令人发指!”
还有一个用户在上述悬赏公告下方留言:“要是谁真的能做到这个,把漏洞卖给其他公司或者机构,早就赚翻了!”
市场不骗人,几个月后谷歌自己也被迫承认了这一点。于是就在上周(当地时间3月30日),他们发布了一篇博文表示:考虑到比赛规则的难度,奖金数额确实是有点太低了。不过除了奖金太少,还可能和漏洞利用的高复杂性,以及规则太严格有关。
据了解,要远程获得一台设备的Root权限或者完全控制这台设备,攻击者可能得需要一连串的漏洞才能实现。要实现远程攻击,攻击者最起码要在手机应用中找到一个远程代码执行漏洞,要完全控制这台设备,又得需要一个权限提升漏洞来逃逸出应用程序的沙箱。
在这种情况下,谷歌还要求参赛者不借助用户交互的情况下完成攻击。也就是说,攻击者不能诱导用户去点击任何恶意链接、访问恶意网站、接受和打开任何文件等等。只需知道对方一个手机号码和电子邮件就直接搞定对方的设备。
这些严苛的规定明显限制了研究人员的攻击手法——既然不能让受害者点击链接,诱导其下载APP,那么就只能是在手机内置的短信应用,或者在手机的固件、电话应用、蜂窝网络等底层软件来下文章了。
这无异于绑手绑脚了,最关键的是钱还给的少!
连安全公司Zimperium的创始人兼董事长Zuk Avraham也忍不住在邮件中吐槽 (注:Zimperium就是美国传奇黑客凯文·米特尼克加盟的去年那家安全公司):
远程操作,不需要交互就能实现的BUG是非常少见的,需要开相当大的脑洞并结合高超的技艺才有可能实现,这个价值已经远远超过了20万美元了。
说来也巧,一家叫Zerodium的“安全漏洞军火商”公司也开出了20万美元的价格收购Android系统的漏洞,但是他们并没有限制攻击者使用链接、钓鱼等需要用户交互的手法。一般情况下,Zerodium收了这些漏洞之后会出售给执法机构和情报机构等客户。
对于技术人员来说,既然价格都是20万美元,为什么要在同样价格的情况下,去选一个难度更高的破解任务呢?还更别说在地下黑市,这些漏洞可能卖到更高的价格。
技术漏洞价值如何平衡?
尽管谷歌这一次的漏洞悬赏由于难度设置得太高,导致项目有些小失败。但是谷歌在技术漏洞悬赏方面,的确位于世界公司和机构的先列,此前他们也做过很多非常成功的安全奖励计划。
在技术漏洞的价值上,也一直存在一些争议。此前曾有一位国内的网络安全专家直言不讳的说:“技术漏洞的价值一直被严重低估,只有靠PR(公关活动)找回。国际巨型公司举牌价格有的比黑市低很多,好几倍,这就像个笑话。”
这让人不禁联想到2015年安全团队VUPEN团队吐槽知名黑客破解大赛Pwn2own的事情。2015年,Pwn2Own黑客大赛招募在即,此前的大赢家、首个公开破解Chrome浏览器的顶级黑客团队VUPEN却宣布放弃。他们的团队创始人在社交媒体上公开吐槽:
你TM是在逗我吗?削减了奖金,然后大大提高难度,等2016年我再看看吧……
从“漏洞军火商”Zerodium发布的漏洞收购金额来看,确实商业收购的价格比此前各种大赛提供奖金要更高。
【zerodium提供的漏洞收购价】
一方面,技术漏洞的价值确实不能完全用金钱来衡量,漏洞挖掘者可能是为了技术荣耀,或是本着极客的心态来单纯地挑战技术高峰;但另一方面,漏洞价值不能用钱来衡量,也并不能成为低估漏洞价值的理由。毕竟有些破解方法需要技术人员花上毕生所学,有时还需要一些运气,付出巨大的努力之后才能找到。
类似Pwn2Own这样的顶级黑客赛事每年也会调整奖金和破解的规则,以适应实际情况。
如果撇开黑客比赛和悬赏的其他意义,单从奖金方面来看,厂商确实是大赢家,他们通过发放不算太高的奖金就能获得如此多的高技术含量的漏洞和利用方法。但是对于技术人员来说,挖掘漏洞、提交给厂商、参加黑客比赛,这些可能涉及到金钱、荣誉、正义、风险、道德等各个方面的问题。
众所周知,“又要马儿跑的好,又想马儿不吃草”在现实中几乎是不存在的!该如何照顾到技术研究者付出的心力,又不失去其原本漏洞研究的意义,最终做到研究人员和厂商的合作共赢就是谷歌今后需要考虑的问题了。