专门研究 iOS 的黑客可以放心:他们的利基市场显然非常有前途。美国初创公司 Zerodium 刚刚发起了一场发现 iOS 9 零日漏洞或越狱的竞赛。前三名挺身而出的研究人员将每人获得 100 万美元的奖励,奖励通过银行转账的方式发送。
但要获得这些战利品,黑客必须遵守一定的条件。攻击必须有完整的记录、排他性并通过网页或 SMS/MMS/iMessage 消息远程执行。除了阅读网页或消息之外,它不得要求用户进行任何其他交互,以便完全酌情进行。
用于网络间谍活动
简而言之,这是为了寻找专门为间谍机构和地球上其他不法分子量身定制的漏洞,而这些人显然是 Zerodium 的客户。该公司在其网站上解释说,事实上,“为国防、技术和金融领域的大公司提供针对零日漏洞的高级保护,并为政府组织提供特定网络安全需求的一部分”。
就其本身而言,这种类型的竞争并不是什么新鲜事:大多数主要出版商都有“错误赏金”计划,允许黑客因发现缺陷而获得奖励。另一方面,这一举措的目的也很突出。发行商的“错误赏金计划”旨在提高软件的安全性并保护用户。相反,Zerodium 的竞争对手旨在谨慎地破解苹果系统,而不会明显提供纠正库比蒂诺缺陷所需的信息。不是一个非常积极的态度。但值得注意的是,苹果不提供错误赏金计划,这是一个错误。
三年内价格翻了四倍
Zerodium 的倡议还以巨额奖励而著称,远远高于“Bug 赏金计划”。该公司通过 iOS 是目前“最安全的移动操作系统”这一事实证明了这一数字的合理性。因此,网络间谍特别感兴趣。尽管如此,我们还是会注意到这个奇怪市场中盛行的通货膨胀。 2012 年,福布斯估计 iOS 零日攻击的成本在 10 万到 25 万美元之间。据《纽约时报》报道,2013 年此类攻击的损失可能高达 50 万美元。三年的时间里,价格翻了四倍!
法国人在行动
您可能想知道 Zerodium 的幕后黑手是谁。这是法语:Chaouki Berkrar。这位 IT 安全专家通过他于 2004 年创建的法国公司 Vupen 从事零日业务多年,该公司的订阅者包括美国国家安全局 (NSA)。 Vupen 和 Zerodium 之间的最大区别似乎在于漏洞的获取。 Vupen有自己的团队,能够自己发现缺陷然后转售。另一方面,Zerodium 似乎专门从事漏洞的买卖。苹果也没有特权:这家初创公司对所有操作系统、软件和连接设备感兴趣,如果它们被大量使用的话。
资料来源:
