正在閱讀:

谷歌停止一個漏洞賞金計(jì)劃,只是因?yàn)榘沧孔儼踩耍?/p>

掃一掃下載界面新聞APP

谷歌停止一個漏洞賞金計(jì)劃,只是因?yàn)榘沧孔儼踩耍?/h1>

對于GPSP被關(guān)閉的原因,谷歌的說法是研究人員向谷歌提交的漏洞報(bào)告逐漸減少。

三易生活 ·

文|三易生活

手機(jī)里的App為什么總是要更新?這是一個在網(wǎng)絡(luò)上引發(fā)了大量網(wǎng)友共鳴的問題,除了添加新功能以滿足用戶的更多需要之外,修復(fù)漏洞無疑是更新日志上最常出現(xiàn)的詞匯。畢竟世界上不存在沒有BUG的軟件,以至于互聯(lián)網(wǎng)廠商軟件團(tuán)隊(duì)的一項(xiàng)核心工作就是修BUG。然而人力終有窮,再強(qiáng)大的互聯(lián)網(wǎng)巨頭也做不到憑一己之力去發(fā)現(xiàn)自己軟件的所有漏洞。

如此一來,許多廠商就選擇了群策群力,推出“漏洞賞金計(jì)劃”來調(diào)動外界的積極性,例如蘋果、谷歌、微軟、Meta等大廠的賞金計(jì)劃更是動輒以百萬美元為單位。蘋果安全工程和架構(gòu)負(fù)責(zé)人Ivan Krstic是這樣形容漏洞賞金計(jì)劃的,“把絕大部分致命漏洞找出來是很難的,為了獎勵研究者所花費(fèi)的時間、精力,以及富有創(chuàng)造力的發(fā)現(xiàn),蘋果才設(shè)置這么(100萬美元)龐大的獎金池”。

可白帽黑客、安全研究人員對于這些大廠的漏洞賞金計(jì)劃卻并沒有趨之若鶩,以至于谷歌在最近就宣布,在8月31日之后,安全研究人員將無法再通過GPSPR計(jì)劃向其提交漏洞。GPSPR即Google Play安全獎勵項(xiàng)目,是谷歌在2019年推出的一項(xiàng)針對Google Play商店的漏洞懸賞計(jì)劃,當(dāng)研究人員發(fā)現(xiàn)漏洞并提交給谷歌后,谷歌將會按照漏洞危害程度提供不同的現(xiàn)金獎勵。

對于GPSP被關(guān)閉的原因,谷歌的說法是研究人員向谷歌提交的漏洞報(bào)告逐漸減少。那么問題就來了,Android生態(tài)的安全性真的越來越高,以至于真正意義上的漏洞變得屈指可數(shù)了?當(dāng)然不是,畢竟谷歌自己發(fā)布的報(bào)告就否認(rèn)了這一說法。

根據(jù)谷歌方面在3月中旬公布的信息顯示,其在2023年向全球632名安全專家發(fā)放了超過1000萬美元的賞金,以酬謝他們發(fā)現(xiàn)、并負(fù)責(zé)任地報(bào)告谷歌旗下產(chǎn)品和服務(wù)中的安全漏洞。據(jù)悉在這1000萬美元里,有關(guān)Android系統(tǒng)和應(yīng)用的漏洞賞金就高達(dá)340萬美元,也是其中最大的一份。并且谷歌還宣布將Android關(guān)鍵漏洞的最高獎勵金額提高到15000美元,從而推動了更多的安全研究人員報(bào)告他們的發(fā)現(xiàn)。

如果Android真的變得無懈可擊,谷歌又何必給全世界的安全專家發(fā)錢,并進(jìn)一步提高金額呢?比如就在數(shù)天前,谷歌發(fā)布了本月的Android安全更新,修補(bǔ)了46個不同的漏洞,其中還包括了一個已經(jīng)遭到利用的“零日漏洞”。對此,一個更有可能的結(jié)論,是被提交給谷歌的Android漏洞變少,并不是Android本身變得更安全了,而是研究人員不再傾向于將漏洞交給谷歌。

事實(shí)上,不僅僅是谷歌、蘋果等大廠在收購自家產(chǎn)品的漏洞,市面上也有一大批第三方公司在進(jìn)行類似的操作。早在2019年,專門收購和出售零日漏洞的公司Zerodium就曾宣布,為一個Android漏洞支付了高達(dá)250萬美元的費(fèi)用。近期也有阿聯(lián)酋的Crowdfense公司宣布,斥資3000萬美元收購各種手機(jī)、軟件等主流產(chǎn)品的漏洞。

上述這些漏洞灰色產(chǎn)業(yè)鏈,無疑是一個讓各大廠商感到頭疼的東西。由于Android在移動操作系統(tǒng)市場的領(lǐng)先地位,以及智能手機(jī)早已滲透到大量用戶日常生活中的方方面面,特別是銀行、支付工具的數(shù)字化讓用戶的資產(chǎn)與手機(jī)產(chǎn)生了強(qiáng)關(guān)聯(lián),所以也導(dǎo)致對Android系統(tǒng)的攻擊已經(jīng)成為了黑客獲取超額收益的主要場景。

通過漏洞攻克Android系統(tǒng)的防護(hù)對于黑客而言,就是用鑰匙打開了金庫的保險(xiǎn)門。那么問題也隨之而來,為什么安全漏洞的發(fā)現(xiàn)者往往更愿意將漏洞賣給類似Crowdfense這樣的中間商,或是干脆在黑市上直接賣給黑灰產(chǎn)團(tuán)隊(duì)呢?原因當(dāng)然是因?yàn)樗麄儼l(fā)現(xiàn),從這些組織獲得的回報(bào)要遠(yuǎn)遠(yuǎn)超過將漏洞提交給相關(guān)所獲得的獎勵。

相比于見不得光的黑灰產(chǎn)團(tuán)隊(duì)或中間商,市值兩萬億美元的谷歌顯然是無可爭議的龐然大物。但反直覺的是,相比于黑灰產(chǎn),谷歌對于安全漏洞的出價往往更加吝嗇。比如谷歌為Android關(guān)鍵漏洞開出的價格是1.5萬美元,而中間商卻給到了高達(dá)250萬美元。其實(shí)出現(xiàn)這一現(xiàn)象的原因并不復(fù)雜,因?yàn)椴煌慕M織對于安全漏洞的價值判斷方式并不一樣。

對于黑灰產(chǎn)團(tuán)隊(duì)來說,漏洞的價值取決于借此所獲得的財(cái)富,即潛在收益。而相關(guān)企業(yè)眼中,如果漏洞始終未覺,則其對于企業(yè)來說則皆如無形、也無損企業(yè)資產(chǎn)分毫,所以這就使得漏洞的價值是由測試漏洞的成本來決定。顯而易見,以破壞而非建設(shè)為目的黑灰產(chǎn)團(tuán)隊(duì),自然會對漏洞的價值開出更高的價碼。

同時由于互聯(lián)網(wǎng)上信息傳播的特質(zhì),特別是一些高隱私性網(wǎng)絡(luò)的存在,導(dǎo)致安全研究人員向黑灰產(chǎn)出售漏洞的風(fēng)險(xiǎn)大幅降低。因此從安全研究人員的角度出發(fā),既然已經(jīng)是在做“挖洞致富”的活,自然就是哪邊出價高就賣給哪邊了。

本文為轉(zhuǎn)載內(nèi)容,授權(quán)事宜請聯(lián)系原著作權(quán)人。

谷歌

5.9k
  • 英國反壟斷部門初步裁定谷歌廣告服務(wù)器存在反競爭行為
  • 谷歌將斥資8.5億美元在烏拉圭建立數(shù)據(jù)中心

評論

暫無評論哦,快來評價一下吧!

下載界面新聞

微信公眾號

微博

谷歌停止一個漏洞賞金計(jì)劃,只是因?yàn)榘沧孔儼踩耍?/h1>

對于GPSP被關(guān)閉的原因,谷歌的說法是研究人員向谷歌提交的漏洞報(bào)告逐漸減少。

三易生活 · 2024/08/21 13:41

文|三易生活

手機(jī)里的App為什么總是要更新?這是一個在網(wǎng)絡(luò)上引發(fā)了大量網(wǎng)友共鳴的問題,除了添加新功能以滿足用戶的更多需要之外,修復(fù)漏洞無疑是更新日志上最常出現(xiàn)的詞匯。畢竟世界上不存在沒有BUG的軟件,以至于互聯(lián)網(wǎng)廠商軟件團(tuán)隊(duì)的一項(xiàng)核心工作就是修BUG。然而人力終有窮,再強(qiáng)大的互聯(lián)網(wǎng)巨頭也做不到憑一己之力去發(fā)現(xiàn)自己軟件的所有漏洞。

如此一來,許多廠商就選擇了群策群力,推出“漏洞賞金計(jì)劃”來調(diào)動外界的積極性,例如蘋果、谷歌、微軟、Meta等大廠的賞金計(jì)劃更是動輒以百萬美元為單位。蘋果安全工程和架構(gòu)負(fù)責(zé)人Ivan Krstic是這樣形容漏洞賞金計(jì)劃的,“把絕大部分致命漏洞找出來是很難的,為了獎勵研究者所花費(fèi)的時間、精力,以及富有創(chuàng)造力的發(fā)現(xiàn),蘋果才設(shè)置這么(100萬美元)龐大的獎金池”。

可白帽黑客、安全研究人員對于這些大廠的漏洞賞金計(jì)劃卻并沒有趨之若鶩,以至于谷歌在最近就宣布,在8月31日之后,安全研究人員將無法再通過GPSPR計(jì)劃向其提交漏洞。GPSPR即Google Play安全獎勵項(xiàng)目,是谷歌在2019年推出的一項(xiàng)針對Google Play商店的漏洞懸賞計(jì)劃,當(dāng)研究人員發(fā)現(xiàn)漏洞并提交給谷歌后,谷歌將會按照漏洞危害程度提供不同的現(xiàn)金獎勵。

對于GPSP被關(guān)閉的原因,谷歌的說法是研究人員向谷歌提交的漏洞報(bào)告逐漸減少。那么問題就來了,Android生態(tài)的安全性真的越來越高,以至于真正意義上的漏洞變得屈指可數(shù)了?當(dāng)然不是,畢竟谷歌自己發(fā)布的報(bào)告就否認(rèn)了這一說法。

根據(jù)谷歌方面在3月中旬公布的信息顯示,其在2023年向全球632名安全專家發(fā)放了超過1000萬美元的賞金,以酬謝他們發(fā)現(xiàn)、并負(fù)責(zé)任地報(bào)告谷歌旗下產(chǎn)品和服務(wù)中的安全漏洞。據(jù)悉在這1000萬美元里,有關(guān)Android系統(tǒng)和應(yīng)用的漏洞賞金就高達(dá)340萬美元,也是其中最大的一份。并且谷歌還宣布將Android關(guān)鍵漏洞的最高獎勵金額提高到15000美元,從而推動了更多的安全研究人員報(bào)告他們的發(fā)現(xiàn)。

如果Android真的變得無懈可擊,谷歌又何必給全世界的安全專家發(fā)錢,并進(jìn)一步提高金額呢?比如就在數(shù)天前,谷歌發(fā)布了本月的Android安全更新,修補(bǔ)了46個不同的漏洞,其中還包括了一個已經(jīng)遭到利用的“零日漏洞”。對此,一個更有可能的結(jié)論,是被提交給谷歌的Android漏洞變少,并不是Android本身變得更安全了,而是研究人員不再傾向于將漏洞交給谷歌。

事實(shí)上,不僅僅是谷歌、蘋果等大廠在收購自家產(chǎn)品的漏洞,市面上也有一大批第三方公司在進(jìn)行類似的操作。早在2019年,專門收購和出售零日漏洞的公司Zerodium就曾宣布,為一個Android漏洞支付了高達(dá)250萬美元的費(fèi)用。近期也有阿聯(lián)酋的Crowdfense公司宣布,斥資3000萬美元收購各種手機(jī)、軟件等主流產(chǎn)品的漏洞。

上述這些漏洞灰色產(chǎn)業(yè)鏈,無疑是一個讓各大廠商感到頭疼的東西。由于Android在移動操作系統(tǒng)市場的領(lǐng)先地位,以及智能手機(jī)早已滲透到大量用戶日常生活中的方方面面,特別是銀行、支付工具的數(shù)字化讓用戶的資產(chǎn)與手機(jī)產(chǎn)生了強(qiáng)關(guān)聯(lián),所以也導(dǎo)致對Android系統(tǒng)的攻擊已經(jīng)成為了黑客獲取超額收益的主要場景。

通過漏洞攻克Android系統(tǒng)的防護(hù)對于黑客而言,就是用鑰匙打開了金庫的保險(xiǎn)門。那么問題也隨之而來,為什么安全漏洞的發(fā)現(xiàn)者往往更愿意將漏洞賣給類似Crowdfense這樣的中間商,或是干脆在黑市上直接賣給黑灰產(chǎn)團(tuán)隊(duì)呢?原因當(dāng)然是因?yàn)樗麄儼l(fā)現(xiàn),從這些組織獲得的回報(bào)要遠(yuǎn)遠(yuǎn)超過將漏洞提交給相關(guān)所獲得的獎勵。

相比于見不得光的黑灰產(chǎn)團(tuán)隊(duì)或中間商,市值兩萬億美元的谷歌顯然是無可爭議的龐然大物。但反直覺的是,相比于黑灰產(chǎn),谷歌對于安全漏洞的出價往往更加吝嗇。比如谷歌為Android關(guān)鍵漏洞開出的價格是1.5萬美元,而中間商卻給到了高達(dá)250萬美元。其實(shí)出現(xiàn)這一現(xiàn)象的原因并不復(fù)雜,因?yàn)椴煌慕M織對于安全漏洞的價值判斷方式并不一樣。

對于黑灰產(chǎn)團(tuán)隊(duì)來說,漏洞的價值取決于借此所獲得的財(cái)富,即潛在收益。而相關(guān)企業(yè)眼中,如果漏洞始終未覺,則其對于企業(yè)來說則皆如無形、也無損企業(yè)資產(chǎn)分毫,所以這就使得漏洞的價值是由測試漏洞的成本來決定。顯而易見,以破壞而非建設(shè)為目的黑灰產(chǎn)團(tuán)隊(duì),自然會對漏洞的價值開出更高的價碼。

同時由于互聯(lián)網(wǎng)上信息傳播的特質(zhì),特別是一些高隱私性網(wǎng)絡(luò)的存在,導(dǎo)致安全研究人員向黑灰產(chǎn)出售漏洞的風(fēng)險(xiǎn)大幅降低。因此從安全研究人員的角度出發(fā),既然已經(jīng)是在做“挖洞致富”的活,自然就是哪邊出價高就賣給哪邊了。

本文為轉(zhuǎn)載內(nèi)容,授權(quán)事宜請聯(lián)系原著作權(quán)人。