停止收購(gòu)iOS漏洞?這不是偶然，是必然。

上周五，第三方漏洞收購(gòu)平臺(tái)Zerodium宣布，由于短期內(nèi)提交的iOS漏洞利用程序太多，其計(jì)劃在未來(lái) 2~3 個(gè)月內(nèi)不再購(gòu)買(mǎi)這類(lèi)漏洞。比如，iOS 本地提權(quán)、Safari遠(yuǎn)程執(zhí)行代碼或沙箱漏洞等。

Zerodium推特官方聲明

這一舉措或許會(huì)導(dǎo)致iOS漏洞價(jià)格走低，對(duì)于iOS系統(tǒng)的安全性來(lái)說(shuō)，或許并不是一件好事。蘋(píng)果最大的一個(gè)賣(mài)點(diǎn)則是iOS的安全性，但是Zerodium的CEO Chaouki Bekrar卻表示： 

Zerodium CEO 推特聲明

Zerodium向研究人員支付一定的費(fèi)用來(lái)收購(gòu)零日安全漏洞，然后轉(zhuǎn)手賣(mài)給政府和執(zhí)法機(jī)構(gòu)等客戶(hù)。據(jù)悉，提交的每個(gè)iOS漏洞利用會(huì)被給予10萬(wàn)到200萬(wàn)美元的獎(jiǎng)勵(lì)。

Zerodium停止這一收購(gòu)舉措并不是空穴來(lái)風(fēng)。近年來(lái)，安卓漏洞收購(gòu)價(jià)格持續(xù)走高，在去年9月份，Zerodium更新了其漏洞價(jià)格收購(gòu)表，安卓漏洞利用價(jià)格首次反超iOS漏洞。

從去年更新的這一價(jià)格表可以看到，對(duì)Android的零點(diǎn)擊(無(wú)用戶(hù)交互)漏洞利用鏈可以使黑客和安全研究人員獲得高達(dá)250萬(wàn)美元的獎(jiǎng)勵(lì)。影響iOS的類(lèi)似漏洞利用鏈價(jià)值僅200萬(wàn)美元。

Zerodium的漏洞收購(gòu)價(jià)取決于被攻擊的軟件或者系統(tǒng)的知名度和安全級(jí)別，以及提交的漏洞質(zhì)量(全鏈或部分鏈、支持的版本/系統(tǒng)/ 架構(gòu)、可靠性、繞過(guò)漏洞利用緩解、默認(rèn)與非默認(rèn)組件、流程延續(xù)等)。

事實(shí)上，世界各地的研究人員開(kāi)發(fā)和出售的iOS漏洞數(shù)量都有所增加，市場(chǎng)上可謂是“泛濫如潮”。從去年開(kāi)始，Zerodium就已經(jīng)開(kāi)始拒絕收購(gòu)一些iOS漏洞了。

鑒于目前安卓的系統(tǒng)版本安全性越來(lái)越高，因此，Zerodium提高安卓的漏洞收購(gòu)價(jià)格也是必然，而安卓漏洞的挖掘也變得更加耗時(shí)和困難。

五年前，Zerodium還出價(jià)100萬(wàn)美元收購(gòu)iOS漏洞，可是如今市場(chǎng)這只手，因?yàn)閕OS漏洞的供過(guò)于求，將價(jià)格的天平撥向了安卓漏洞。

Jalf Security首席安全研究員、Objective-See創(chuàng)始人Patrick Wardle認(rèn)為，此次聲明一方面反映了iOS安全性的真實(shí)狀態(tài)，另一方面可能也是想要掀一掀漏洞市場(chǎng)的波浪。但是見(jiàn)微知著，對(duì)于iOS安全研究人員來(lái)說(shuō)，這一舉措或許并不讓人驚訝。

物以稀為貴。iOS漏洞熱潮退去早已初現(xiàn)苗頭，漏洞市場(chǎng)的轉(zhuǎn)移也讓Zerodium這一舉措在意料之中。 正如Zerodium CEO所說(shuō)的那樣，希望iOS的安全性會(huì)更好。