Zimperium啟動漏洞利用收購項目，目標(biāo)為iOS和安卓N日漏洞，對零日漏洞毫無興趣。

漏洞獎勵項目的存在，就是為了鼓勵研究人員找到并報告零日漏洞。其中理論在于，漏洞被補上，而威脅隨之而逝。但事實上，零日漏洞往往會成為N日漏洞利用。此處的“N”，指的是從補丁放出到部署的間隔天數(shù)。在此期間，N日漏洞利用的危險程度，堪比零日。

移動世界里該問題尤其突出，因為數(shù)百萬用戶都會因為根本覆蓋不到大多數(shù)手機的糟糕的部署過程，而在相當(dāng)長的時間里處于危險之中。現(xiàn)在，2015年2月獲得1200萬美元B輪融資的Zimperium公司，宣布成立zLab，并拿出150萬美元投入N日漏洞利用收購項目，希望能提升移動世界的安全狀況。

CTO兼創(chuàng)始人祖克·亞伯拉罕解釋稱：“不幸的是，手機操作系統(tǒng)的安全補丁過程非常滯后，讓公司和個人面對幾十個安全威脅束手無策。通過zLab的新漏洞利用收購項目，我們的客戶、合作伙伴和網(wǎng)絡(luò)安全社區(qū)其他團體，都將收到這些漏洞的通告，得以提供最高水平的可能防護。”

實際和期望效果有很多。首先就是，一旦某N日漏洞利用曝光，將會對手機生態(tài)系統(tǒng)造成壓力，促成安全過程更新的重新思考和改善。其次，它可以鼓勵和獎勵那些，在漏洞獎勵環(huán)境下，一旦漏洞被廠商獲知就讓利用程序開發(fā)努力秒變無用功的研究人員們。

再次，這將促成一個更安全的手機市場。有了研究人員的認(rèn)可，漏洞利用程序?qū)⒈话l(fā)布給Zimperium手機聯(lián)盟(ZHA)的成員。該聯(lián)盟包括了三星、軟銀、特斯拉、黑莓，及超過30家全球著名手機廠商和移動運營商。Zimperium將在1到3個月后公開發(fā)布?xì)w功于研究人員的漏洞利用。

第四，就是Zimperium自己的獎勵了。它將利用那些漏洞利用程序及其中蘊含的技術(shù)，來增強它自己的機器學(xué)習(xí)z9威脅檢測引擎的能力。這將使客戶能在補丁發(fā)布和部署前就能扛住這些漏洞利用。

對出產(chǎn)相關(guān)N日漏洞利用的研究人員來說，報告過程相對簡單。在nothuman.ninja上給ninja_exploits發(fā)郵件，描述漏洞利用程序，引用CVE編號，解釋漏洞利用鏈的工作機制，然后聲明愿不愿意公開發(fā)布代碼并接受報酬。

然后，漏洞利用將接受zLab委員會的評估，給出研究人員應(yīng)得的報酬額度。作為規(guī)則，關(guān)鍵漏洞——比如說完整的遠(yuǎn)程漏洞利用鏈，將收到比本地漏洞利用更多的報酬。如果能夠觸發(fā)更老機型/OS上的漏洞，也會給出相應(yīng)的提示。

2月1日的博文中，亞伯拉罕寫道：“這很簡單，我們會購買除最新iOS/安卓版本之外任何版本的遠(yuǎn)程和本地漏洞利用?！?/p>

有一點可能會引發(fā)爭議：通過鼓勵N日漏洞利用的開發(fā)，并將其解決方案集成到z9檢測引擎中，Zimperium其實是在增加非Zimperium用戶的風(fēng)險。亞伯拉罕反駁此種論點稱：“雖然個人手機用戶不能立即看出該項目的好處，但我們真的是在盡力加固用戶接收安全更新的方式。”

高明的攻擊者，不會等到該項目來研究月度安全通報。這些漏洞已經(jīng)存在且被高端黑客探索利用了。向Zimperium手機聯(lián)盟貢獻這些漏洞，然后安全社區(qū)也會知曉，這樣漏洞被利用于針對性攻擊的機會就會降低了，增加了運營商阻止此類攻擊的機會，以及廠商分配資源提供更新的機會，有益于整個生態(tài)系統(tǒng)。

實際上，該模式是對Zimperium已經(jīng)著手的事務(wù)的規(guī)范化與補強。2015年9月，Zimperium公布了一個安卓Stagefright的關(guān)鍵漏洞利用。該漏洞已經(jīng)被谷歌打上補丁，但一個已公開的漏洞利用的存在，迫使安卓供應(yīng)商部署該補丁。

減少N日漏洞利用存活期的任何努力，無疑都是有益的。但如果150萬美元都花光了會怎么樣呢？“那就有大問題了。取決于項目的成功程度，可能會增加投入吧。”

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。