苹果 iOS 开发平台被“XCodeGhost”木马感染,导致大量 iOS 版本的应用软件成为“恶意软件”,这一重大事件,让“苹果 iOS 安全性超过安卓”的“神话”被彻底击碎。许多果粉惊讶,原来苹果手机和平板也如此不堪一击!
苹果 iOS 系统的漏洞,远远不止上述一宗。据外媒报道,一家国外安全公司日前宣布,将最高花费 300 万美元采购苹果 iOS9 操作系统中的“零日漏洞”。
所谓“零日漏洞”,指的是漏洞在曝光之后快速被网络黑客所利用发动攻击,相关的厂商甚至来不及发布补丁修补漏洞。对于黑客灰色产业链而言,“零日漏洞”的价值远远超过常规的漏洞。
据美国科技新闻网站“连线”报道,本周一,一家名为 Zerodium 的公司对外宣布,出价 100 万美元征集 iOS9 操作系统的“零日漏洞”。另外如果漏洞的价值足够大,该公司愿意为一个漏洞支付最高 300 万美元的价格。
这是历史上安全公司或者其他需要软件漏洞的情报部门,为单一漏洞开出的最高价码。
该公司征集的 iOS9 系统漏洞,可以被用来通过远程方式攻击苹果手机或平板,或是通过网页应用、移动软件,甚至是传统短信等方式,对苹果设备发动攻击。
该公司表示,通过安全性能的不断增强,苹果 iOS 目前已经是最安全的移动操作系统,“但是不要被愚弄了,安全并不意味着牢不可破。”该公司表示,所谓的安全只是意味着黑客在利用其软件漏洞发动攻击的复杂性和成本最高。
征集到这些苹果 iOS 漏洞之后作何用途?这家公司并未对外宣布。
据报道,Zerodium 的创始人名叫贝克拉(Chaouki Bekrar),在所谓的安全漏洞灰色市场中,此人大名鼎鼎。除了这家安全公司之外,他还在法国巴黎开办了一家名为 Vupen 的公司。
这家法国公司的业务颇受争议,他们专门开发针对知名软件的攻击手段,然后将漏洞和攻击方式转让给全世界的政府情报部门。
美国媒体指出,通过高价征集 iOS9 的漏洞,贝克拉实际上已经成为一种“黑客中间人”的角色。
在更主流的网络安全行业中,如果一家安全公司发现了漏洞,将会报告给微软、苹果和谷歌等公司开发漏洞补丁,而在补丁发布之后,安全公司会通过行业大会等发布漏洞,借此提高公司在行业内的声望,另外苹果、谷歌等公司也会通过现金的方式,对主动报告漏洞表示感谢。
在相关厂商置之不理的情况下,一些安全公司和专家也会主动向科技媒体进行爆料,提醒相关产品的用户注意安全防范。
和常规做法不同的是,贝克拉和他的 Vupen 公司,不会主动报告漏洞,而是通过转让来谋取利益。不过该公司的转让对象是否包括不良之徒和犯罪组织,尚不得而知。
安全漏洞灰色市场的存在已经不是秘密。谷歌、微软等公司都会花费重金向安全行业征集自家软件的漏洞。
七月份据美国媒体报道,美国海军的情报部门也曾经向安全行业“收购”知名软件的安全漏洞,收购内容中还包括可以发动网络攻击的二进制程序。这些漏洞是“零日漏洞”或是“N日漏洞”。
此前,英国路透社曾经报道,美国政府情报部门是全世界最大的“零日漏洞”买家,尚未被公开的高价值“零日漏洞”起价高达 5 万美元。