Google 20萬(wàn)美刀懸賞漏洞：尷尬癌犯了

六個(gè)月前，Google擲出了一個(gè)20萬(wàn)美元的漏洞懸賞項(xiàng)目公告，大意是：

誰(shuí)能在僅知道受害者電話號(hào)碼和電郵地址的情況下，遠(yuǎn)程入侵對(duì)方的Android設(shè)備，20萬(wàn)美元的獎(jiǎng)金，少俠拿好請(qǐng)慢走！

幾乎無(wú)人迎戰(zhàn)。（幾乎二字幾乎可以去掉）

聽起來(lái)似乎是個(gè)好消息，這說(shuō)明Google家的移動(dòng)操作系統(tǒng)的安全性強(qiáng)？但這似乎不是理由，再安全的系統(tǒng)性也會(huì)有人愿意來(lái)挑戰(zhàn)。真正的理由，其實(shí)從這個(gè)叫"Zeroprize"的漏洞懸賞計(jì)劃推出時(shí)就有人指出來(lái)了：

一個(gè)不依靠用戶交互就能遠(yuǎn)程搞定設(shè)備權(quán)限的漏洞來(lái)說(shuō)，20萬(wàn)美元真是少的令人發(fā)指！

一個(gè)用戶在懸賞公告下方留言：“要是誰(shuí)真的能做到這個(gè)，把漏洞賣給其他公司或者機(jī)構(gòu)，早就賺翻了！”

市場(chǎng)不騙人，幾個(gè)月后Google自己也被迫承認(rèn)了這一點(diǎn)，于是就在上周（當(dāng)?shù)貢r(shí)間3月30日），他們發(fā)布了一篇博文表示：

考慮到比賽規(guī)則的難度，獎(jiǎng)金數(shù)額確實(shí)是有點(diǎn)太低了，不過(guò)除了獎(jiǎng)金太少，還可能和漏洞利用的高復(fù)雜性，以及規(guī)則太嚴(yán)格有關(guān)。

據(jù)雷鋒網(wǎng)了解，要遠(yuǎn)程獲得一臺(tái)設(shè)備的Root權(quán)限或者完全控制這臺(tái)設(shè)備，攻擊者可能得需要一連串的漏洞才能實(shí)現(xiàn)。要實(shí)現(xiàn)遠(yuǎn)程攻擊，攻擊者最起碼要在手機(jī)應(yīng)用中找到一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，要完全控制這臺(tái)設(shè)備，又得需要一個(gè)權(quán)限提升漏洞來(lái)逃逸出應(yīng)用程序的沙箱。

在這種情況下，Google還要求參賽者不借助用戶交互的情況下完成攻擊。也就是說(shuō)，攻擊者不能誘導(dǎo)用戶去點(diǎn)擊任何惡意鏈接、訪問(wèn)惡意網(wǎng)站、接受和打開任何文件等等。只需知道對(duì)方一個(gè)手機(jī)號(hào)碼和電子郵件就直接搞定對(duì)方的設(shè)備。

這些嚴(yán)苛的規(guī)定明顯限制了研究人員的攻擊手法——既然不能讓受害者點(diǎn)擊鏈接，誘導(dǎo)其下載APP，那么就只能是在手機(jī)內(nèi)置的短信應(yīng)用，或者在手機(jī)的固件、電話應(yīng)用、蜂窩網(wǎng)絡(luò)等底層軟件來(lái)下文章了。

這無(wú)異于綁手綁腳了，最關(guān)鍵的是錢還給的少。

連安全公司Zimperium的創(chuàng)始人兼董事長(zhǎng)ZukAvraham也忍不住在郵件中吐槽 （雷鋒網(wǎng)注：Zimperium就是傳奇黑客凱文·米特尼克加盟的去年那家安全公司）：

遠(yuǎn)程操作，不需要交互就能實(shí)現(xiàn)的BUG是非常少見的，需要開相當(dāng)大的腦洞并結(jié)合高超的技藝才有可能實(shí)現(xiàn)，這個(gè)價(jià)值已經(jīng)遠(yuǎn)遠(yuǎn)超過(guò)了20萬(wàn)美元了。

說(shuō)來(lái)也巧，一家叫Zerodium的“安全漏洞軍火商”公司也開出了20萬(wàn)美元的價(jià)格收購(gòu)Android系統(tǒng)的漏洞，但是他們并沒有限制攻擊者使用鏈接、釣魚等需要用戶交互的手法。一般情況下，Zerodium收了這些漏洞之后會(huì)出售給執(zhí)法機(jī)構(gòu)和情報(bào)機(jī)構(gòu)等客戶。

對(duì)于技術(shù)人員來(lái)說(shuō)，既然價(jià)格都是20萬(wàn)美元，為什么要在同樣價(jià)格的情況下，去選一個(gè)難度更高的破解任務(wù)呢？還更別說(shuō)在地下黑市，這些漏洞可能賣到更高的價(jià)格。

技術(shù)漏洞價(jià)值如何平衡？

盡管Google這一次的漏洞懸賞由于難度設(shè)置得太高，導(dǎo)致項(xiàng)目有些小失敗，但是Google在技術(shù)漏洞懸賞方面，的確位于世界公司和機(jī)構(gòu)的先列，此前他們也做過(guò)很多非常成功的安全獎(jiǎng)勵(lì)計(jì)劃。

在技術(shù)漏洞的價(jià)值上，也一直存在一些爭(zhēng)議。有一位國(guó)內(nèi)的網(wǎng)絡(luò)安全專家直言不諱地告訴雷鋒網(wǎng)編輯：

技術(shù)漏洞的價(jià)值一直被嚴(yán)重低估，只有靠PR（公關(guān)活動(dòng)）找回。國(guó)際巨型公司舉牌價(jià)格有的比黑市低很多，好幾倍，這就像個(gè)笑話。

這讓雷鋒網(wǎng)(公眾號(hào)：雷鋒網(wǎng))編輯不禁聯(lián)想到2015年安全團(tuán)隊(duì)VUPEN團(tuán)隊(duì)吐槽知名黑客破解大賽Pwn2own的事情。

2015年，Pwn2Own黑客大賽招募在即，此前的大贏家、首個(gè)公開破解Chrome瀏覽器的頂級(jí)黑客團(tuán)隊(duì)VUPEN卻宣布放棄。他們的團(tuán)隊(duì)創(chuàng)始人在社交媒體上公開吐槽：

你TM是在逗我嗎？削減了獎(jiǎng)金，然后大大提高難度，等2016年我再看看吧……

從“漏洞軍火商”Zerodium發(fā)布的漏洞收購(gòu)金額來(lái)看，確實(shí)商業(yè)收購(gòu)的價(jià)格比此前各種大賽提供獎(jiǎng)金要更高。

【zerodium提供的漏洞收購(gòu)價(jià)】

一方面，技術(shù)漏洞的價(jià)值確實(shí)不能完全用金錢來(lái)衡量，漏洞挖掘者可能是為了技術(shù)榮耀，或是本著極客的心態(tài)來(lái)單純地挑戰(zhàn)技術(shù)高峰；但另一方面，漏洞價(jià)值不能用錢來(lái)衡量，也并不能成為低估漏洞價(jià)值的理由。畢竟有些破解方法需要技術(shù)人員花上畢生所學(xué)，有時(shí)還需要一些運(yùn)氣，付出巨大的努力之后才能找到。

類似Pwn2Own這樣的頂級(jí)黑客賽事每年也會(huì)調(diào)整獎(jiǎng)金和破解的規(guī)則，以適應(yīng)實(shí)際情況。

如果撇開黑客比賽和懸賞的其他意義，單從獎(jiǎng)金方面來(lái)看，廠商確實(shí)是大贏家，他們通過(guò)發(fā)放不算太高的獎(jiǎng)金就能獲得如此多的高技術(shù)含量的漏洞和利用方法。

但是對(duì)于技術(shù)人員來(lái)說(shuō)，挖掘漏洞、提交給廠商、參加黑客比賽，這些可能涉及到金錢、榮譽(yù)、正義、風(fēng)險(xiǎn)、道德等各個(gè)方面的問(wèn)題。

如何既照顧到技術(shù)研究者付出的心力，又不失去原本漏洞研究的意義，本身就是一門高深的學(xué)問(wèn)。但在雷鋒網(wǎng)編輯看來(lái)，漏洞懸賞不是一個(gè)單純的市場(chǎng)行為，它更有種行俠仗義的豪氣、拾金不昧的高尚，和技術(shù)改變世界的情懷在其中。