灰色地带需求井喷:零日漏洞价格再创新高
2024-4-7 11:30:11 Author: mp.weixin.qq.com(查看原文) 阅读量:26 收藏

在网络安全领域,有一个神秘而又令人不安的灰色地带 - 零日漏洞市场。这里交易的是一种被称为"零日漏洞"的黑客工具,利用软件系统中未被发现和修复的安全漏洞,可以轻松突破设备和应用的防线。而近期,这些黑客工具的价格出现了惊人的飙升。

初创公司Crowdfense本周公布的价格表显示,他们愿意出价500万至700万美元收购iPhone的破解工具,攻破Android手机的工具也能卖到500万美元。而在2019年,该公司给出的最高价还只有300万美元。

究其原因,这只能说明有些人愿意多花钱。将用于非法目的的手机 0day 价格与发现成本联系起来并不一定正确。

另外一方面,是苹果、谷歌等科技巨头不断强化自家产品的安全性,使得找到并利用漏洞的难度大大增加。一个人单枪匹马攻克防线的时代一去不复返,如今往往需要多名顶尖黑客组成团队,耗费大量时间精力,成本自然水涨船高。

不过,也有业内人士指出,Crowdfense给出的价格其实并非市场最高水平。在更加隐秘的交易中,一些零日漏洞的价格甚至能够翻倍。去年,一家名为Operation Zero的俄罗斯公司表示,愿意支付高达2000万美元收购用于入侵iPhone和Android设备的工具

那么,究竟是谁在花大价钱收购这些黑客工具?

事实上,执法部门打击犯罪时,有时也会用到零日漏洞。米国联邦调查局(FBI)曾在2016年的一起大规模枪击案中,花重金买入一个iPhone漏洞,成功解锁嫌犯手机,获取了关键证据。

在公众视线之外,各国政府和公司支付的价格可能更高。

"根据我在零日漏洞行业看到的情况,Crowdfense向研究人员开出的单个Chrome远程代码执行和沙箱逃逸漏洞利用价格低于市场价,"曾在专注于开发和销售零日漏洞的初创公司Linchpin Labs工作的Manouchehri说。Linchpin Labs于2018年被米国国防承包商L3 Technologies(现称L3Harris)收购。

Crowdfense表示,它会严格遵守米国的出口管制政策,审慎选择客户,绝不会向米国制裁名单上的国家和实体出售漏洞。但在利润的巨大诱惑下,很多公司能否真正坚守道德底线,外界心存疑虑。

监管之手能否伸向这个灰色地带?今年3月,米国G首次对间谍软件行业的个人实施制裁,让业内为之一震。然而,要彻底遏制滥用,还需各国联手,在国际法框架下明确游戏规则。

与此同时,科技公司亟须承担起保护用户安全和隐私的责任,持续加固系统,及时修复漏洞。作为普通用户,提高安全意识,谨慎使用软件系统,也是必不可少的自我保护。

零日漏洞交易是一把双刃剑,在打击犯罪和保护公民隐私间寻找平衡,考验着G的智慧,也关乎每个互联网用户的切身利益。在灰色地带亟待明朗之际,我们更须凝聚共识,用明确的法律和道德准则,规范这个特殊行业,让网络世界变得更加安全可信。


文章来源: https://mp.weixin.qq.com/s?__biz=MzU0MzgyMzM2Nw==&mid=2247485533&idx=1&sn=28aa38d2a9264ae5ec6cd557ed4e9144&chksm=fb04cb35cc7342235918310d4701d0e1f516e31a3ba89a0630a6a8afc29094879983ac7be1bc&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh