▲以往由於Android的安全性不如iOS來得高,因此其攻擊程式在賞金平台上的價格也較低。(圖/CFP)
記者王曉敏/綜合外電報導
專門收購零時差漏洞與攻擊程式的系統安全資訊公司Zerodium日前更新其最新的攻擊程式收購價目表,整份價目表喊價最高的是Android平台的零點擊(Zero Click)漏洞完整利用鏈,該漏洞喊價達250萬美元(約新台幣7905萬元),首度超越iOS系統。
以往由於Android的安全性不如iOS來得高,因此其攻擊程式在賞金平台上的價格也較低,不過根據最新的價目表,Zerodium將針對Android平台的零點擊漏洞完整利用鏈支付高達250萬美元的獎金,而同樣的漏洞在iOS系統上最高則喊價200萬美元(約新台幣6324萬元)。值得一提的是,一年前,Zerodium為此類Android漏洞開出的價格僅20萬美元(約新台幣632萬元),經過一年,價格卻翻漲12倍,更首度超越iOS系統。
▲Zerodium最近公佈最新的攻擊程式收購價目表。(圖/取自Zerodium)
針對即時通訊軟體的攻擊程式價格也水漲船高,WhatsApp及iMessage的零點擊漏洞回報價格從去年的100萬美元(約新台幣3162萬元)調漲至最高150萬美元(約新台幣4743萬元)。不過,針對對蘋果iOS的一次點擊(1-click)漏洞持久化完整利用鏈報價則從先前的150萬美元調降至100萬美元,針對iMessage的遠端程式碼執行(RCE)以及本地權限升級(LPE)非持久化漏洞利用鏈的報價同樣較去年調降至50萬美元(約新台幣1581萬元)。
Zerodium表示,這種調整主要是為迎合市場趨勢。該公司創辦人兼執行長貝克雷爾(Chaouki Bekrar)接受媒體採訪時表示,過去幾個月來,針對iOS的漏洞利用數量有所增加,其中大部分都是針對Safari及iMessage的漏洞利用鏈,而目前世界各地的研究人員大部分也都在針對這類漏洞進行研究、開發及銷售。「目前的零點及漏洞市場上,iOS漏洞已經接近飽和,因此我們最近也在減少iOS漏洞的採集數量。另一方面,Google及三星的安全團隊一直致力於提升Android平台的安全性,使近來Android系統的安全性有了顯著的提升,這也導致針對Android平台的完整漏洞利用鏈開發難度變得越來越高,耗時也愈來愈長。」
貝克雷爾日前曾談到,該公司客戶對利用鏈有著特定的要求,因此,該公司會適當地調整漏洞提交的獎金。換句話說,Zerodium此番報價調整意味著政府或執法機構對獲取Android系統軟體漏洞的興趣有所提升。Zerodium指出,該平台提供的零點擊漏洞獎金額度,取決於受影響軟體或系統的流行程度、安全係數及其所提交的漏洞質量,「包括涉及的漏洞利用鍊是否完整,其所支援的版本、系統及架構類型,以及是否能夠繞過一些安全防護措施等等。」
讀者迴響