Android系統(tǒng)20萬美元入侵計劃無人問津，研究人員稱獎金太少

六個月前，Google發(fā)布了一項針對Android系統(tǒng)的入侵獎金計劃，該計劃提出只要有誰可以在僅知道受害者的電話號碼和電子郵件的前提下遠(yuǎn)程侵入安卓設(shè)備，那么將會獲得谷歌提供的20萬美金的高額獎金。不過令人尷尬的是，該獎金計劃至今無人問津。

雖然這聽起來像是個好消息，像是證明了安卓系統(tǒng)足夠的安全性。但是真的是因為這個原因，才導(dǎo)致的該計劃遭人冷落嗎？其實事實并非如此，早在該計劃提出的初期就有人指出，20萬美金的獎金實在太低，因此也不會有人愿意參與該入侵獎金計劃。

一位用戶在去年九月份在原公告下，如是回復(fù)：“如果可以實現(xiàn)像該入侵獎金計劃說的那樣，我覺得這個漏洞可以以更高的價格出售給其他公司或?qū)嶓w。”

另外一個人說：“許多買家可以支付遠(yuǎn)超這個金額的價錢，200K美金不值得我們在干草堆下去找針?！逼扔谌藗兊恼f辭Google不得不被迫承認(rèn)這一點，并在本周的一篇博文中指出，“考慮到要贏得這場比賽的bug類型，我們的獎金可能真的太低了。”據(jù)該公司的安全團(tuán)隊說，之所以人們對于該獎金計劃缺乏興趣，原因可能是因為這些漏洞的高度復(fù)雜性，以及不規(guī)則的市場競爭導(dǎo)致的。

為了在Android設(shè)備上獲得root或內(nèi)核權(quán)限，攻擊者必須將多個漏洞結(jié)合在一起利用。例如他們至少需要獲取一個系統(tǒng)的缺陷，并利用該缺陷在該設(shè)備上遠(yuǎn)程代碼執(zhí)行，然后還需要一個特權(quán)提升漏洞來轉(zhuǎn)義應(yīng)用程序沙箱。

而根據(jù)官方公布的Android每月安全公告可以知道，Android并不存在所謂的特權(quán)提升漏洞。然而在Google這次的入侵獎金計劃中卻明確要求，參賽者不允許與目標(biāo)用戶產(chǎn)生任何過多形式的交互。這也就意味著，攻擊者需要在沒有用戶點擊惡意鏈接，訪問惡意網(wǎng)站，或接收打開惡意文件等前提下，實現(xiàn)對目標(biāo)安卓系統(tǒng)的成功利用。

這個規(guī)則大大限制了研究人員可以用來攻擊設(shè)備的切入點。因此我們要找的第一個漏洞切入點，將不得不在位于操作系統(tǒng)的內(nèi)置消息傳遞功能如SMS(短信服務(wù))或MMS(彩信服務(wù))上 – 它們都可能會受到蜂窩網(wǎng)絡(luò)的攻擊。

早在2015年的時候，移動安全公司Zimperium的研究人員，就曾在Android核心媒體處理庫中發(fā)現(xiàn)了符合該類漏洞標(biāo)準(zhǔn)的，一個名為Stagefright的漏洞。攻擊者只需簡單的將特制的媒體文件存放到設(shè)備上，就可以成功利用。該漏洞在當(dāng)時也引發(fā)了大范圍的修補(bǔ)潮。

這樣一來，攻擊者只需向目標(biāo)用戶發(fā)送彩信（MMS），并且不需要再與他們產(chǎn)生任何其他的交互，就可以成功的利用攻擊者的設(shè)備。

在該漏洞被曝出后，許多類似的漏洞也在Stagefright和其它一些Android媒體處理組件中被挖掘出來。為此Google更改了內(nèi)置消息傳遞應(yīng)用的默認(rèn)行為，不再自動進(jìn)行彩信的檢索，因此對該漏洞的利用也幾乎成為了不可能。

Zimperium的創(chuàng)始人兼董事長Zim Avraham在一封電子郵件中說道：“遠(yuǎn)程的，無交互的bug是非常罕見的，需要很多的創(chuàng)造力和復(fù)雜性。這些東西的價值也足以超過20萬美金的獎金。

一家名為Zerodium的漏洞收購公司，也為遠(yuǎn)程Android越獄提供了20萬美元的漏洞獎金，但他們并沒有對用戶的交互做限制。

讓我們來思考一個問題，既然在黑市可以通過一些簡單的攻擊，就能獲取相同甚至更多的金額，那么為什么還要設(shè)立如此高難度的攻擊項目呢？

Google的Project Zero團(tuán)隊成員Natalie Silvanovich在博客中表示：“總的來說，這次比賽是一次學(xué)習(xí)經(jīng)歷，我們希望把我們學(xué)到的東西，放到Google的獎勵計劃和未來的比賽當(dāng)中?！弊詈螅搱F(tuán)隊也希望安全研究人員能積極的提出他們的意見和建議。

雖然這次Google的入侵獎金計劃失敗了，但是不可否認(rèn)Google多年以來所執(zhí)行的許多成功的安全獎勵計劃，包括軟件和在線服務(wù)。

作為廠商來講，是不可能像那些網(wǎng)絡(luò)罪犯或漏洞經(jīng)紀(jì)人那樣，以高價來收購那些安全漏洞的。而廠商的漏洞懸賞項目，也僅針對那些有責(zé)任心的安全研究人員所設(shè)立。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。