在网络安全领域,有一个神秘而又令人不安的灰色地带 - 零日漏洞市场。这里交易的是一种被称为"零日漏洞"的黑客工具,利用软件系统中未被发现和修复的安全漏洞,可以轻松突破设备和应用的防线。而近期,这些黑客工具的价格出现了惊人的飙升。
初创公司Crowdfense本周公布的价格表显示,他们愿意出价500万至700万美元收购iPhone的破解工具,攻破Android手机的工具也能卖到500万美元。而在2019年,该公司给出的最高价还只有300万美元。
究其原因,这只能说明有些人愿意多花钱。将用于非法目的的手机 0day 价格与发现成本联系起来并不一定正确。
另外一方面,是苹果、谷歌等科技巨头不断强化自家产品的安全性,使得找到并利用漏洞的难度大大增加。一个人单枪匹马攻克防线的时代一去不复返,如今往往需要多名顶尖黑客组成团队,耗费大量时间精力,成本自然水涨船高。
不过,也有业内人士指出,Crowdfense给出的价格其实并非市场最高水平。在更加隐秘的交易中,一些零日漏洞的价格甚至能够翻倍。去年,一家名为Operation Zero的俄罗斯公司表示,愿意支付高达2000万美元收购用于入侵iPhone和Android设备的工具。
那么,究竟是谁在花大价钱收购这些黑客工具?
事实上,执法部门打击犯罪时,有时也会用到零日漏洞。米国联邦调查局(FBI)曾在2016年的一起大规模枪击案中,花重金买入一个iPhone漏洞,成功解锁嫌犯手机,获取了关键证据。
在公众视线之外,各国政府和公司支付的价格可能更高。
"根据我在零日漏洞行业看到的情况,Crowdfense向研究人员开出的单个Chrome远程代码执行和沙箱逃逸漏洞利用价格低于市场价,"曾在专注于开发和销售零日漏洞的初创公司Linchpin Labs工作的Manouchehri说。Linchpin Labs于2018年被米国国防承包商L3 Technologies(现称L3Harris)收购。
Crowdfense表示,它会严格遵守米国的出口管制政策,审慎选择客户,绝不会向米国制裁名单上的国家和实体出售漏洞。但在利润的巨大诱惑下,很多公司能否真正坚守道德底线,外界心存疑虑。
监管之手能否伸向这个灰色地带?今年3月,米国G首次对间谍软件行业的个人实施制裁,让业内为之一震。然而,要彻底遏制滥用,还需各国联手,在国际法框架下明确游戏规则。
与此同时,科技公司亟须承担起保护用户安全和隐私的责任,持续加固系统,及时修复漏洞。作为普通用户,提高安全意识,谨慎使用软件系统,也是必不可少的自我保护。
零日漏洞交易是一把双刃剑,在打击犯罪和保护公民隐私间寻找平衡,考验着G的智慧,也关乎每个互联网用户的切身利益。在灰色地带亟待明朗之际,我们更须凝聚共识,用明确的法律和道德准则,规范这个特殊行业,让网络世界变得更加安全可信。