Zimperium砸150萬美元搜羅移動(dòng)N日漏洞利用

Zimperium啟動(dòng)漏洞利用收購項(xiàng)目，目標(biāo)為iOS和安卓N日漏洞，對(duì)零日漏洞毫無興趣。

漏洞獎(jiǎng)勵(lì)項(xiàng)目的存在，就是為了鼓勵(lì)研究人員找到并報(bào)告零日漏洞。其中理論在于，漏洞被補(bǔ)上，而威脅隨之而逝。但事實(shí)上，零日漏洞往往會(huì)成為N日漏洞利用。此處的“N”，指的是從補(bǔ)丁放出到部署的間隔天數(shù)。在此期間，N日漏洞利用的危險(xiǎn)程度，堪比零日。

移動(dòng)世界里該問題尤其突出，因?yàn)閿?shù)百萬用戶都會(huì)因?yàn)楦靖采w不到大多數(shù)手機(jī)的糟糕的部署過程，而在相當(dāng)長(zhǎng)的時(shí)間里處于危險(xiǎn)之中?，F(xiàn)在，2015年2月獲得1200萬美元B輪融資的Zimperium公司，宣布成立zLab，并拿出150萬美元投入N日漏洞利用收購項(xiàng)目，希望能提升移動(dòng)世界的安全狀況。

CTO兼創(chuàng)始人祖克·亞伯拉罕解釋稱：“不幸的是，手機(jī)操作系統(tǒng)的安全補(bǔ)丁過程非常滯后，讓公司和個(gè)人面對(duì)幾十個(gè)安全威脅束手無策。通過zLab的新漏洞利用收購項(xiàng)目，我們的客戶、合作伙伴和網(wǎng)絡(luò)安全社區(qū)其他團(tuán)體，都將收到這些漏洞的通告，得以提供最高水平的可能防護(hù)?！?/p>

實(shí)際和期望效果有很多。首先就是，一旦某N日漏洞利用曝光，將會(huì)對(duì)手機(jī)生態(tài)系統(tǒng)造成壓力，促成安全過程更新的重新思考和改善。其次，它可以鼓勵(lì)和獎(jiǎng)勵(lì)那些，在漏洞獎(jiǎng)勵(lì)環(huán)境下，一旦漏洞被廠商獲知就讓利用程序開發(fā)努力秒變無用功的研究人員們。

再次，這將促成一個(gè)更安全的手機(jī)市場(chǎng)。有了研究人員的認(rèn)可，漏洞利用程序?qū)⒈话l(fā)布給Zimperium手機(jī)聯(lián)盟(ZHA)的成員。該聯(lián)盟包括了三星、軟銀、特斯拉、黑莓，及超過30家全球著名手機(jī)廠商和移動(dòng)運(yùn)營(yíng)商。Zimperium將在1到3個(gè)月后公開發(fā)布?xì)w功于研究人員的漏洞利用。

第四，就是Zimperium自己的獎(jiǎng)勵(lì)了。它將利用那些漏洞利用程序及其中蘊(yùn)含的技術(shù)，來增強(qiáng)它自己的機(jī)器學(xué)習(xí)z9威脅檢測(cè)引擎的能力。這將使客戶能在補(bǔ)丁發(fā)布和部署前就能扛住這些漏洞利用。

對(duì)出產(chǎn)相關(guān)N日漏洞利用的研究人員來說，報(bào)告過程相對(duì)簡(jiǎn)單。在nothuman.ninja上給ninja_exploits發(fā)郵件，描述漏洞利用程序，引用CVE編號(hào)，解釋漏洞利用鏈的工作機(jī)制，然后聲明愿不愿意公開發(fā)布代碼并接受報(bào)酬。

然后，漏洞利用將接受zLab委員會(huì)的評(píng)估，給出研究人員應(yīng)得的報(bào)酬額度。作為規(guī)則，關(guān)鍵漏洞——比如說完整的遠(yuǎn)程漏洞利用鏈，將收到比本地漏洞利用更多的報(bào)酬。如果能夠觸發(fā)更老機(jī)型/OS上的漏洞，也會(huì)給出相應(yīng)的提示。

2月1日的博文中，亞伯拉罕寫道：“這很簡(jiǎn)單，我們會(huì)購買除最新iOS/安卓版本之外任何版本的遠(yuǎn)程和本地漏洞利用?！?/p>

有一點(diǎn)可能會(huì)引發(fā)爭(zhēng)議：通過鼓勵(lì)N日漏洞利用的開發(fā)，并將其解決方案集成到z9檢測(cè)引擎中，Zimperium其實(shí)是在增加非Zimperium用戶的風(fēng)險(xiǎn)。亞伯拉罕反駁此種論點(diǎn)稱：“雖然個(gè)人手機(jī)用戶不能立即看出該項(xiàng)目的好處，但我們真的是在盡力加固用戶接收安全更新的方式。”

高明的攻擊者，不會(huì)等到該項(xiàng)目來研究月度安全通報(bào)。這些漏洞已經(jīng)存在且被高端黑客探索利用了。向Zimperium手機(jī)聯(lián)盟貢獻(xiàn)這些漏洞，然后安全社區(qū)也會(huì)知曉，這樣漏洞被利用于針對(duì)性攻擊的機(jī)會(huì)就會(huì)降低了，增加了運(yùn)營(yíng)商阻止此類攻擊的機(jī)會(huì)，以及廠商分配資源提供更新的機(jī)會(huì)，有益于整個(gè)生態(tài)系統(tǒng)。

實(shí)際上，該模式是對(duì)Zimperium已經(jīng)著手的事務(wù)的規(guī)范化與補(bǔ)強(qiáng)。2015年9月，Zimperium公布了一個(gè)安卓Stagefright的關(guān)鍵漏洞利用。該漏洞已經(jīng)被谷歌打上補(bǔ)丁，但一個(gè)已公開的漏洞利用的存在，迫使安卓供應(yīng)商部署該補(bǔ)丁。

減少N日漏洞利用存活期的任何努力，無疑都是有益的。但如果150萬美元都花光了會(huì)怎么樣呢？“那就有大問題了。取決于項(xiàng)目的成功程度，可能會(huì)增加投入吧?！?/p>

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。