在网络世界,安全漏洞无疑是最具杀伤力的武器,那些影响面广、危害严重的基础软件漏洞更是价值不菲。根据“网络军火商”Zerodium最新公布的漏洞收购价,一个Adobe Flash Player的远程代码执行漏洞价值高达5万美元。不过,仍有一些黑客技术高手面对天文数字的漏洞价格毫不动心,将手中的0day漏洞免费提供给软件厂商修复,并且一次性就提供了34个:
北京时间12月9日凌晨,Adobe发布2015年最后一波安全更新,重点是修复Adobe Flash Player存在的漏洞,其中就包括由360Vulcan团队提交的34个高危漏洞,360Vulcan团队成员Yuki Chen一人就提交了29个漏洞。按照公开的漏洞价格,这些漏洞如果卖给Zerodium,可以获得170万美元收入,足够在北京市区买一套房子。360Vulcan团队却将这些漏洞完全免费地提交给Adobe修复。
图1:Zerodium高价收购各类漏洞
作为装机必备软件,Adobe Flash Player广泛应用在网页视频、游戏等领域,影响Windows、Mac、Linux等不同操作系统,Flash漏洞无疑是不法黑客攻击者眼中的“香饽饽”。而对于Flash用户来说,这些漏洞如果得不到修复,电脑里就像埋下了一颗颗定时炸弹,随时可能被不法分子引爆。
Zerodium等“网络军火商”之所以愿意高价收购漏洞,是因为这些漏洞如果被用于非法入侵,就能带来远高于购买价格的经济利益回报。迄今,已有多个Flash漏洞被发现用于网络空间战、商业间谍和勒索软件等攻击行为中,其攻击收益自然远远高于5万美元。
攻击者可以利用漏洞扩充自己的军火库,并不断对企业或政府机关进行攻击,以谋求经济利益或重要情报。而对网民来说,存储在机构、企业服务器上的个人数据都有可能成为不法分子的战利品,甚至个人电脑也会被木马利用漏洞入侵控制。
图2:360Vulcan团队向Adobe一举提交34个Flash漏洞
但并非所有黑客都会被金钱利益诱惑。在Adobe漏洞致谢榜上,360Vulcan Team、Google Project Zero等著名的“白帽子军团”已经无偿贡献了大量漏洞。对于专门帮助厂商修复漏洞的白帽子来说,把漏洞及时修补远比卖给“网络军火商”更有价值得多。
而这也并不是360Vulcan第一次免费提交漏洞。仅2015年,360Vulcan团队已经为微软、苹果、谷歌、Adobe免费报告了80个漏洞,包括22个微软漏洞、52个Adobe产品漏洞、5个苹果iOS系统漏洞和1个谷歌Chrome浏览器漏洞,360Vulcan也因此获得这些国际巨头的公开致谢,成为全亚洲发现基础软件高危漏洞数量最多、质量最高的安全团队。
