Android攻击程式价格首度超越iOS!喊价最高近8千万 较去年飙涨12倍
▲以往由于Android的安全性不如iOS来得高,因此其攻击程式在赏金平台上的价格也较低。(图/CFP)
专门收购零时差漏洞与攻击程式的系统安全资讯公司Zerodium日前更新其最新的攻击程式收购价目表,整份价目表喊价最高的是Android平台的零点击(Zero Click)漏洞完整利用链,该漏洞喊价达250万美元(约新台币7905万元),首度超越iOS系统。
以往由于Android的安全性不如iOS来得高,因此其攻击程式在赏金平台上的价格也较低,不过根据最新的价目表,Zerodium将针对Android平台的零点击漏洞完整利用链支付高达250万美元的奖金,而同样的漏洞在iOS系统上最高则喊价200万美元(约新台币6324万元)。值得一提的是,一年前,Zerodium为此类Android漏洞开出的价格仅20万美元(约新台币632万元),经过一年,价格却翻涨12倍,更首度超越iOS系统。
▲Zerodium最近公布最新的攻击程式收购价目表。(图/取自Zerodium)
针对即时通讯软体的攻击程式价格也水涨船高,WhatsApp及iMessage的零点击漏洞回报价格从去年的100万美元(约新台币3162万元)调涨至最高150万美元(约新台币4743万元)。不过,针对对苹果iOS的一次点击(1-click)漏洞持久化完整利用链报价则从先前的150万美元调降至100万美元,针对iMessage的远端程式码执行(RCE)以及本地权限升级(LPE)非持久化漏洞利用链的报价同样较去年调降至50万美元(约新台币1581万元)。
Zerodium表示,这种调整主要是为迎合市场趋势。该公司创办人兼执行长贝克雷尔(Chaouki Bekrar)接受媒体采访时表示,过去几个月来,针对iOS的漏洞利用数量有所增加,其中大部分都是针对Safari及iMessage的漏洞利用链,而目前世界各地的研究人员大部分也都在针对这类漏洞进行研究、开发及销售。「目前的零点及漏洞市场上,iOS漏洞已经接近饱和,因此我们最近也在减少iOS漏洞的采集数量。另一方面,Google及三星的安全团队一直致力于提升Android平台的安全性,使近来Android系统的安全性有了显著的提升,这也导致针对Android平台的完整漏洞利用链开发难度变得越来越高,耗时也愈来愈长。」
贝克雷尔日前曾谈到,该公司客户对利用链有着特定的要求,因此,该公司会适当地调整漏洞提交的奖金。换句话说,Zerodium此番报价调整意味着政府或执法机构对获取Android系统软体漏洞的兴趣有所提升。Zerodium指出,该平台提供的零点击漏洞奖金额度,取决于受影响软体或系统的流行程度、安全系数及其所提交的漏洞质量,「包括涉及的漏洞利用炼是否完整,其所支援的版本、系统及架构类型,以及是否能够绕过一些安全防护措施等等。」