錢少沒誠意？谷歌20萬美元漏洞懸賞竟無人問津

　　據(jù)相關(guān)媒體報道，互聯(lián)網(wǎng)巨頭谷歌此前擲出了一份20萬美元的漏洞懸賞項目公告。公告大意是：“誰能在僅知道受害者電話號碼和電郵地址的情況下，遠程入侵對方的Android設(shè)備，20萬美元的獎金，少俠拿好請慢走！”報道稱，谷歌的這筆懸賞至今竟無人肯應(yīng)戰(zhàn)，難道谷歌的移動操作系統(tǒng)已經(jīng)強到無懈可擊了嗎？

　　當然并非如此，畢竟再安全的系統(tǒng)也會有人愿意面對挑戰(zhàn)！真正的理由，其實從這個叫“Zero prize”的漏洞懸賞計劃推出時就有人指出來了：“一個不依靠用戶交互就能遠程搞定設(shè)備權(quán)限的漏洞來說，20萬美元真是少的令人發(fā)指！”

　　還有一個用戶在上述懸賞公告下方留言：“要是誰真的能做到這個，把漏洞賣給其他公司或者機構(gòu)，早就賺翻了！”

　　市場不騙人，幾個月后谷歌自己也被迫承認了這一點。于是就在上周（當?shù)貢r間3月30日），他們發(fā)布了一篇博文表示：考慮到比賽規(guī)則的難度，獎金數(shù)額確實是有點太低了。不過除了獎金太少，還可能和漏洞利用的高復(fù)雜性，以及規(guī)則太嚴格有關(guān)。

　　據(jù)了解，要遠程獲得一臺設(shè)備的Root權(quán)限或者完全控制這臺設(shè)備，攻擊者可能得需要一連串的漏洞才能實現(xiàn)。要實現(xiàn)遠程攻擊，攻擊者最起碼要在手機應(yīng)用中找到一個遠程代碼執(zhí)行漏洞，要完全控制這臺設(shè)備，又得需要一個權(quán)限提升漏洞來逃逸出應(yīng)用程序的沙箱。

　　在這種情況下，谷歌還要求參賽者不借助用戶交互的情況下完成攻擊。也就是說，攻擊者不能誘導(dǎo)用戶去點擊任何惡意鏈接、訪問惡意網(wǎng)站、接受和打開任何文件等等。只需知道對方一個手機號碼和電子郵件就直接搞定對方的設(shè)備。

　　這些嚴苛的規(guī)定明顯限制了研究人員的攻擊手法——既然不能讓受害者點擊鏈接，誘導(dǎo)其下載APP，那么就只能是在手機內(nèi)置的短信應(yīng)用，或者在手機的固件、電話應(yīng)用、蜂窩網(wǎng)絡(luò)等底層軟件來下文章了。

　　這無異于綁手綁腳了，最關(guān)鍵的是錢還給的少！

　　連安全公司Zimperium的創(chuàng)始人兼董事長Zuk Avraham也忍不住在郵件中吐槽 （注：Zimperium就是美國傳奇黑客凱文·米特尼克加盟的去年那家安全公司）：

　　遠程操作，不需要交互就能實現(xiàn)的BUG是非常少見的，需要開相當大的腦洞并結(jié)合高超的技藝才有可能實現(xiàn)，這個價值已經(jīng)遠遠超過了20萬美元了。

　　說來也巧，一家叫Zerodium的“安全漏洞軍火商”公司也開出了20萬美元的價格收購Android系統(tǒng)的漏洞，但是他們并沒有限制攻擊者使用鏈接、釣魚等需要用戶交互的手法。一般情況下，Zerodium收了這些漏洞之后會出售給執(zhí)法機構(gòu)和情報機構(gòu)等客戶。

　　對于技術(shù)人員來說，既然價格都是20萬美元，為什么要在同樣價格的情況下，去選一個難度更高的破解任務(wù)呢？還更別說在地下黑市，這些漏洞可能賣到更高的價格。

　　技術(shù)漏洞價值如何平衡？

　　盡管谷歌這一次的漏洞懸賞由于難度設(shè)置得太高，導(dǎo)致項目有些小失敗。但是谷歌在技術(shù)漏洞懸賞方面，的確位于世界公司和機構(gòu)的先列，此前他們也做過很多非常成功的安全獎勵計劃。

　　在技術(shù)漏洞的價值上，也一直存在一些爭議。此前曾有一位國內(nèi)的網(wǎng)絡(luò)安全專家直言不諱的說：“技術(shù)漏洞的價值一直被嚴重低估，只有靠PR（公關(guān)活動）找回。國際巨型公司舉牌價格有的比黑市低很多，好幾倍，這就像個笑話。”

　　這讓人不禁聯(lián)想到2015年安全團隊VUPEN團隊吐槽知名黑客破解大賽Pwn2own的事情。2015年，Pwn2Own黑客大賽招募在即，此前的大贏家、首個公開破解Chrome瀏覽器的頂級黑客團隊VUPEN卻宣布放棄。他們的團隊創(chuàng)始人在社交媒體上公開吐槽：

　　你TM是在逗我嗎？削減了獎金，然后大大提高難度，等2016年我再看看吧……

　　從“漏洞軍火商”Zerodium發(fā)布的漏洞收購金額來看，確實商業(yè)收購的價格比此前各種大賽提供獎金要更高。

【zerodium提供的漏洞收購價】

　　一方面，技術(shù)漏洞的價值確實不能完全用金錢來衡量，漏洞挖掘者可能是為了技術(shù)榮耀，或是本著極客的心態(tài)來單純地挑戰(zhàn)技術(shù)高峰；但另一方面，漏洞價值不能用錢來衡量，也并不能成為低估漏洞價值的理由。畢竟有些破解方法需要技術(shù)人員花上畢生所學(xué)，有時還需要一些運氣，付出巨大的努力之后才能找到。

　　類似Pwn2Own這樣的頂級黑客賽事每年也會調(diào)整獎金和破解的規(guī)則，以適應(yīng)實際情況。

　　如果撇開黑客比賽和懸賞的其他意義，單從獎金方面來看，廠商確實是大贏家，他們通過發(fā)放不算太高的獎金就能獲得如此多的高技術(shù)含量的漏洞和利用方法。但是對于技術(shù)人員來說，挖掘漏洞、提交給廠商、參加黑客比賽，這些可能涉及到金錢、榮譽、正義、風險、道德等各個方面的問題。

　　眾所周知，“又要馬兒跑的好，又想馬兒不吃草”在現(xiàn)實中幾乎是不存在的！該如何照顧到技術(shù)研究者付出的心力，又不失去其原本漏洞研究的意義，最終做到研究人員和廠商的合作共贏就是谷歌今后需要考慮的問題了。