六個月前,Google發(fā)布了一項針對Android系統(tǒng)的入侵獎金計劃,該計劃提出只要有誰可以在僅知道受害者的電話號碼和電子郵件的前提下遠程侵入安卓設備,那么將會獲得谷歌提供的20萬美金的高額獎金。不過令人尷尬的是,該獎金計劃至今無人問津。
雖然這聽起來像是個好消息,像是證明了安卓系統(tǒng)足夠的安全性。但是真的是因為這個原因,才導致的該計劃遭人冷落嗎?其實事實并非如此,早在該計劃提出的初期就有人指出,20萬美金的獎金實在太低,因此也不會有人愿意參與該入侵獎金計劃。
一位用戶在去年九月份在原公告下,如是回復:“如果可以實現(xiàn)像該入侵獎金計劃說的那樣,我覺得這個漏洞可以以更高的價格出售給其他公司或?qū)嶓w?!?/p>
另外一個人說:“許多買家可以支付遠超這個金額的價錢,200K美金不值得我們在干草堆下去找針。”迫于人們的說辭Google不得不被迫承認這一點,并在本周的一篇博文中指出,“考慮到要贏得這場比賽的bug類型,我們的獎金可能真的太低了。”據(jù)該公司的安全團隊說,之所以人們對于該獎金計劃缺乏興趣,原因可能是因為這些漏洞的高度復雜性,以及不規(guī)則的市場競爭導致的。
為了在Android設備上獲得root或內(nèi)核權(quán)限,攻擊者必須將多個漏洞結(jié)合在一起利用。例如他們至少需要獲取一個系統(tǒng)的缺陷,并利用該缺陷在該設備上遠程代碼執(zhí)行,然后還需要一個特權(quán)提升漏洞來轉(zhuǎn)義應用程序沙箱。
而根據(jù)官方公布的Android每月安全公告可以知道,Android并不存在所謂的特權(quán)提升漏洞。然而在Google這次的入侵獎金計劃中卻明確要求,參賽者不允許與目標用戶產(chǎn)生任何過多形式的交互。這也就意味著,攻擊者需要在沒有用戶點擊惡意鏈接,訪問惡意網(wǎng)站,或接收打開惡意文件等前提下,實現(xiàn)對目標安卓系統(tǒng)的成功利用。
這個規(guī)則大大限制了研究人員可以用來攻擊設備的切入點。因此我們要找的第一個漏洞切入點,將不得不在位于操作系統(tǒng)的內(nèi)置消息傳遞功能如SMS(短信服務)或MMS(彩信服務)上 – 它們都可能會受到蜂窩網(wǎng)絡的攻擊。
早在2015年的時候,移動安全公司Zimperium的研究人員,就曾在Android核心媒體處理庫中發(fā)現(xiàn)了符合該類漏洞標準的,一個名為Stagefright的漏洞。攻擊者只需簡單的將特制的媒體文件存放到設備上,就可以成功利用。該漏洞在當時也引發(fā)了大范圍的修補潮。
這樣一來,攻擊者只需向目標用戶發(fā)送彩信(MMS),并且不需要再與他們產(chǎn)生任何其他的交互,就可以成功的利用攻擊者的設備。
在該漏洞被曝出后,許多類似的漏洞也在Stagefright和其它一些Android媒體處理組件中被挖掘出來。為此Google更改了內(nèi)置消息傳遞應用的默認行為,不再自動進行彩信的檢索,因此對該漏洞的利用也幾乎成為了不可能。
Zimperium的創(chuàng)始人兼董事長Zim Avraham在一封電子郵件中說道:“遠程的,無交互的bug是非常罕見的,需要很多的創(chuàng)造力和復雜性。這些東西的價值也足以超過20萬美金的獎金。
一家名為Zerodium的漏洞收購公司,也為遠程Android越獄提供了20萬美元的漏洞獎金,但他們并沒有對用戶的交互做限制。
讓我們來思考一個問題,既然在黑市可以通過一些簡單的攻擊,就能獲取相同甚至更多的金額,那么為什么還要設立如此高難度的攻擊項目呢?
Google的Project Zero團隊成員Natalie Silvanovich在博客中表示:“總的來說,這次比賽是一次學習經(jīng)歷,我們希望把我們學到的東西,放到Google的獎勵計劃和未來的比賽當中?!弊詈?,該團隊也希望安全研究人員能積極的提出他們的意見和建議。
雖然這次Google的入侵獎金計劃失敗了,但是不可否認Google多年以來所執(zhí)行的許多成功的安全獎勵計劃,包括軟件和在線服務。
作為廠商來講,是不可能像那些網(wǎng)絡罪犯或漏洞經(jīng)紀人那樣,以高價來收購那些安全漏洞的。而廠商的漏洞懸賞項目,也僅針對那些有責任心的安全研究人員所設立。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 后人工智能時代:2025年,在紛擾中重塑數(shù)據(jù)、洞察和行動
- 2025年展望:人工智能推動IT整合
- 量子計算:商業(yè)世界的新前沿與設計思維的融合
- IDC:三季度全球以太網(wǎng)交換機收入同比下降7.9%、環(huán)比增長6.6%
- Fortinet李宏凱:2025年在中國大陸啟動SASE PoP節(jié)點部署 助力企業(yè)出海
- Fortinet李宏凱:2024年Fortinet全球客戶已超80萬
- 央國企采購管理升級,合合信息旗下啟信慧眼以科技破局難點
- Apache Struts重大漏洞被黑客利用,遠程代碼執(zhí)行風險加劇
- Crunchbase:2024年AI網(wǎng)絡安全行業(yè)風險投資超過26億美元
- 調(diào)查報告:AI與云重塑IT格局,77%的IT領(lǐng)導者視網(wǎng)絡安全為首要挑戰(zhàn)
免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。