文｜三易生活

手機(jī)里的App為什么總是要更新？這是一個(gè)在網(wǎng)絡(luò)上引發(fā)了大量網(wǎng)友共鳴的問題，除了添加新功能以滿足用戶的更多需要之外，修復(fù)漏洞無(wú)疑是更新日志上最常出現(xiàn)的詞匯。畢竟世界上不存在沒有BUG的軟件，以至于互聯(lián)網(wǎng)廠商軟件團(tuán)隊(duì)的一項(xiàng)核心工作就是修BUG。然而人力終有窮，再?gòu)?qiáng)大的互聯(lián)網(wǎng)巨頭也做不到憑一己之力去發(fā)現(xiàn)自己軟件的所有漏洞。

如此一來(lái)，許多廠商就選擇了群策群力，推出“漏洞賞金計(jì)劃”來(lái)調(diào)動(dòng)外界的積極性，例如蘋果、谷歌、微軟、Meta等大廠的賞金計(jì)劃更是動(dòng)輒以百萬(wàn)美元為單位。蘋果安全工程和架構(gòu)負(fù)責(zé)人Ivan Krstic是這樣形容漏洞賞金計(jì)劃的，“把絕大部分致命漏洞找出來(lái)是很難的，為了獎(jiǎng)勵(lì)研究者所花費(fèi)的時(shí)間、精力，以及富有創(chuàng)造力的發(fā)現(xiàn)，蘋果才設(shè)置這么（100萬(wàn)美元）龐大的獎(jiǎng)金池”。

可白帽黑客、安全研究人員對(duì)于這些大廠的漏洞賞金計(jì)劃卻并沒有趨之若鶩，以至于谷歌在最近就宣布，在8月31日之后，安全研究人員將無(wú)法再通過(guò)GPSPR計(jì)劃向其提交漏洞。GPSPR即Google Play安全獎(jiǎng)勵(lì)項(xiàng)目，是谷歌在2019年推出的一項(xiàng)針對(duì)Google Play商店的漏洞懸賞計(jì)劃，當(dāng)研究人員發(fā)現(xiàn)漏洞并提交給谷歌后，谷歌將會(huì)按照漏洞危害程度提供不同的現(xiàn)金獎(jiǎng)勵(lì)。

對(duì)于GPSP被關(guān)閉的原因，谷歌的說(shuō)法是研究人員向谷歌提交的漏洞報(bào)告逐漸減少。那么問題就來(lái)了，Android生態(tài)的安全性真的越來(lái)越高，以至于真正意義上的漏洞變得屈指可數(shù)了？當(dāng)然不是，畢竟谷歌自己發(fā)布的報(bào)告就否認(rèn)了這一說(shuō)法。

根據(jù)谷歌方面在3月中旬公布的信息顯示，其在2023年向全球632名安全專家發(fā)放了超過(guò)1000萬(wàn)美元的賞金，以酬謝他們發(fā)現(xiàn)、并負(fù)責(zé)任地報(bào)告谷歌旗下產(chǎn)品和服務(wù)中的安全漏洞。據(jù)悉在這1000萬(wàn)美元里，有關(guān)Android系統(tǒng)和應(yīng)用的漏洞賞金就高達(dá)340萬(wàn)美元，也是其中最大的一份。并且谷歌還宣布將Android關(guān)鍵漏洞的最高獎(jiǎng)勵(lì)金額提高到15000美元，從而推動(dòng)了更多的安全研究人員報(bào)告他們的發(fā)現(xiàn)。

如果Android真的變得無(wú)懈可擊，谷歌又何必給全世界的安全專家發(fā)錢，并進(jìn)一步提高金額呢？比如就在數(shù)天前，谷歌發(fā)布了本月的Android安全更新，修補(bǔ)了46個(gè)不同的漏洞，其中還包括了一個(gè)已經(jīng)遭到利用的“零日漏洞”。對(duì)此，一個(gè)更有可能的結(jié)論，是被提交給谷歌的Android漏洞變少，并不是Android本身變得更安全了，而是研究人員不再傾向于將漏洞交給谷歌。

事實(shí)上，不僅僅是谷歌、蘋果等大廠在收購(gòu)自家產(chǎn)品的漏洞，市面上也有一大批第三方公司在進(jìn)行類似的操作。早在2019年，專門收購(gòu)和出售零日漏洞的公司Zerodium就曾宣布，為一個(gè)Android漏洞支付了高達(dá)250萬(wàn)美元的費(fèi)用。近期也有阿聯(lián)酋的Crowdfense公司宣布，斥資3000萬(wàn)美元收購(gòu)各種手機(jī)、軟件等主流產(chǎn)品的漏洞。

上述這些漏洞灰色產(chǎn)業(yè)鏈，無(wú)疑是一個(gè)讓各大廠商感到頭疼的東西。由于Android在移動(dòng)操作系統(tǒng)市場(chǎng)的領(lǐng)先地位，以及智能手機(jī)早已滲透到大量用戶日常生活中的方方面面，特別是銀行、支付工具的數(shù)字化讓用戶的資產(chǎn)與手機(jī)產(chǎn)生了強(qiáng)關(guān)聯(lián)，所以也導(dǎo)致對(duì)Android系統(tǒng)的攻擊已經(jīng)成為了黑客獲取超額收益的主要場(chǎng)景。

通過(guò)漏洞攻克Android系統(tǒng)的防護(hù)對(duì)于黑客而言，就是用鑰匙打開了金庫(kù)的保險(xiǎn)門。那么問題也隨之而來(lái)，為什么安全漏洞的發(fā)現(xiàn)者往往更愿意將漏洞賣給類似Crowdfense這樣的中間商，或是干脆在黑市上直接賣給黑灰產(chǎn)團(tuán)隊(duì)呢？原因當(dāng)然是因?yàn)樗麄儼l(fā)現(xiàn)，從這些組織獲得的回報(bào)要遠(yuǎn)遠(yuǎn)超過(guò)將漏洞提交給相關(guān)所獲得的獎(jiǎng)勵(lì)。

相比于見不得光的黑灰產(chǎn)團(tuán)隊(duì)或中間商，市值兩萬(wàn)億美元的谷歌顯然是無(wú)可爭(zhēng)議的龐然大物。但反直覺的是，相比于黑灰產(chǎn)，谷歌對(duì)于安全漏洞的出價(jià)往往更加吝嗇。比如谷歌為Android關(guān)鍵漏洞開出的價(jià)格是1.5萬(wàn)美元，而中間商卻給到了高達(dá)250萬(wàn)美元。其實(shí)出現(xiàn)這一現(xiàn)象的原因并不復(fù)雜，因?yàn)椴煌慕M織對(duì)于安全漏洞的價(jià)值判斷方式并不一樣。

對(duì)于黑灰產(chǎn)團(tuán)隊(duì)來(lái)說(shuō)，漏洞的價(jià)值取決于借此所獲得的財(cái)富，即潛在收益。而相關(guān)企業(yè)眼中，如果漏洞始終未覺，則其對(duì)于企業(yè)來(lái)說(shuō)則皆如無(wú)形、也無(wú)損企業(yè)資產(chǎn)分毫，所以這就使得漏洞的價(jià)值是由測(cè)試漏洞的成本來(lái)決定。顯而易見，以破壞而非建設(shè)為目的黑灰產(chǎn)團(tuán)隊(duì)，自然會(huì)對(duì)漏洞的價(jià)值開出更高的價(jià)碼。

同時(shí)由于互聯(lián)網(wǎng)上信息傳播的特質(zhì)，特別是一些高隱私性網(wǎng)絡(luò)的存在，導(dǎo)致安全研究人員向黑灰產(chǎn)出售漏洞的風(fēng)險(xiǎn)大幅降低。因此從安全研究人員的角度出發(fā)，既然已經(jīng)是在做“挖洞致富”的活，自然就是哪邊出價(jià)高就賣給哪邊了。