网络安全企业出价百万美金收购苹果iOS9漏洞

liukang1860

苹果iOS开发平台被“XCodeGhost”木马感染，导致大量iOS版本的应用App成为“恶意App”，这一重大事件，让“苹果iOS安全性超过安卓”的“神话”被彻底击碎。许多果粉惊讶，原来苹果手机和平板也如此不堪一击！

苹果iOS系统的漏洞，远远不止上述一宗。据外国媒体报道，一家国外安全企业日前宣布，将最高花费300万美金采购苹果iOS9操作系统中的“零日漏洞”。

所谓“零日漏洞”，指的是漏洞在曝光之后快速被网络黑客所利用发动攻击，相关的厂商甚至来不及发布补丁修补漏洞。对于黑客灰色产业链而言，“零日漏洞”的价值远远超过常规的漏洞。

据美国科技资讯网站“连线”报道，本周一，一家名为Zerodium的企业对外宣布，出价100万美金征集iOS9操作系统的“零日漏洞”。另外如果漏洞的价值足够大，该企业愿意为一个漏洞支付最高300万美金的价格。

这是历史上安全企业或者其他需要App漏洞的情报部门，为单一漏洞开出的最高价码。

该企业征集的iOS9系统漏洞，可以被用来通过远程方式攻击苹果手机或平板，或是通过网页应用、移动App，甚至是传统短信等方式，对苹果设备发动攻击。

该企业表示，通过安全性能的不断增强，苹果iOS目前已经是最安全的移动操作系统，“但是不要被愚弄了，安全并不意味着牢不可破。”该企业表示，所谓的安全只是意味着黑客在利用其App漏洞发动攻击的复杂性和成本最高。

征集到这些苹果iOS漏洞之后作何用途？这家企业并未对外宣布。

据报道，Zerodium的创始人名叫贝克拉（Chaouki Bekrar），在所谓的安全漏洞灰色市场中，此人大名鼎鼎。除了这家安全企业之外，他还在法国巴黎开办了一家名为Vupen的企业。

这家法国企业的业务颇受争议，他们专门开发针对知名App的攻击手段，然后将漏洞和攻击方式转让给全世界的政府情报部门。

美国媒体指出，通过高价征集iOS9的漏洞，贝克拉实际上已经成为一种“黑客中间人”的角色。

在更主流的网络安全行业中，如果一家安全企业发现了漏洞，将会报告给MicroSoft、苹果和GOOGLE等企业开发漏洞补丁，而在补丁发布之后，安全企业会通过行业大会等发布漏洞，借此提高企业在行业内的声望，另外苹果、GOOGLE等企业也会通过现金的方式，对主动报告漏洞表示感谢。

在相关厂商置之不理的情况下，一些安全企业和专家也会主动向科技媒体进行爆料，提醒相关产品的用户注意安全防范。

和常规做法不同的是，贝克拉和他的Vupen企业，不会主动报告漏洞，而是通过转让来谋取利益。不过该企业的转让对象是否包括不良之徒和犯罪组织，尚不得而知。

安全漏洞灰色市场的存在已经不是秘密。GOOGLE、MicroSoft等企业都会花费重金向安全行业征集自家App的漏洞。

七月份据美国媒体报道，美国海军的情报部门也曾经向安全行业“收购”知名App的安全漏洞，收购内容中还包括可以发动网络攻击的二进制程序。这些漏洞是“零日漏洞”或是“N日漏洞”。

此前，英国路透社曾经报道，美国政府情报部门是全世界最大的“零日漏洞”买家，尚未被公开的高价值“零日漏洞”起价高达5万美金。