上周使得iOS平臺(tái)被曝出現(xiàn)安全漏洞的“XCodeGhost”事件鬧得沸沸揚(yáng)揚(yáng)，外界甚至覺得蘋果系統(tǒng)的安全信譽(yù)其實(shí)也不那么牢固。事實(shí)上，iOS系統(tǒng)也并非牢不可破，除了XCodeGhost事件，iOS系統(tǒng)還有其他已被黑客攻破的漏洞。

據(jù)美國(guó)科技新聞網(wǎng)站“連線”報(bào)道，本周一，網(wǎng)絡(luò)安全行業(yè)里最大的一筆漏洞收購交易曝光了：收購/銷售產(chǎn)品安全漏洞的Zerodium公司近日宣布，該公司設(shè)置了超過300萬美元（約合1900萬人民幣）的獎(jiǎng)池來懸賞那些在iOS 9系統(tǒng)中找到漏洞的黑客。

Zerodium是一家向政府和企業(yè)銷售安全漏洞套裝和間諜工具的供應(yīng)商，根據(jù)該公司發(fā)布的懸賞榜，黑客在10月31日之前提交的前三個(gè)iOS 9 0-Day漏洞能夠獲得每個(gè)漏洞最高100萬美元的獎(jiǎng)金。

所謂“零日漏洞”（zero-day）又叫零時(shí)差攻擊，是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，相關(guān)的廠商甚至來不及發(fā)布補(bǔ)丁修補(bǔ)漏洞，防御難度極大。也因?yàn)槿绱?，在黑客灰色產(chǎn)業(yè)鏈中，“零日漏洞”的價(jià)值遠(yuǎn)遠(yuǎn)超過常規(guī)的漏洞。

據(jù)報(bào)道，Zerodium本次征集的iOS 9系統(tǒng)漏洞，是那些可以被用來通過遠(yuǎn)程方式攻擊蘋果手機(jī)或平板，或是通過網(wǎng)頁應(yīng)用、移動(dòng)軟件，甚至是傳統(tǒng)短信等方式對(duì)蘋果設(shè)備發(fā)動(dòng)攻擊的漏洞。

該公司宣稱，隨著安全性能的不斷改進(jìn)，以及修補(bǔ)措施做得越來越到位，蘋果的iOS系統(tǒng)算是目前最為安全的移動(dòng)操作系統(tǒng)?！暗灰虼苏`以為它就是牢不可破的了，它目前的安全僅僅說明破解iOS的成本和復(fù)雜性系數(shù)最高?！?/p>

對(duì)于黑客而言，每發(fā)現(xiàn)一個(gè)漏洞都是心血的結(jié)晶。有了這些漏洞在手上，某些知名的越獄團(tuán)隊(duì)會(huì)利用漏洞之間的配合，試圖研發(fā)出越獄程序，然后就進(jìn)入了大家耳熟能詳?shù)娜劫澲⒑褪謾C(jī)助手合作等等盈利模式。然而某些有操守的白帽子，他們會(huì)選擇將漏洞提交給漏洞系統(tǒng)的官方開發(fā)漏洞補(bǔ)丁，另外微軟、谷歌等公司也會(huì)通過現(xiàn)金的方式，對(duì)主動(dòng)報(bào)告漏洞表示感謝。微軟最高曾開出數(shù)十萬的價(jià)位收購自家的漏洞。

而在相關(guān)廠商置之不理的情況下，某些安全公司和專家也會(huì)主動(dòng)向科技媒體進(jìn)行爆料，提醒相關(guān)產(chǎn)品的用戶注意安全防范。但某些公司的做法則不同于常規(guī)，他們不會(huì)主動(dòng)報(bào)告漏洞，而是通過轉(zhuǎn)讓來謀取利益。他們被定性為黑客灰色組織。

據(jù)了解，在某些黑客找到有價(jià)值的漏洞后，諸多灰色組織就會(huì)向其伸出橄欖枝。在不久前被曝光的意大利著名網(wǎng)絡(luò)軍火商“Hacking Team”，其內(nèi)部數(shù)據(jù)就存在著大量在“漏洞市場(chǎng)”中“買”來的且極其危險(xiǎn)的iOS 0Day漏洞。Zerodium的商業(yè)模式與“Hacking Team”類似。

至于Zerodium征集這些蘋果iOS漏洞將用作何處，該公司并未對(duì)外宣布。目前尚不清楚該公司的轉(zhuǎn)讓對(duì)象是否包括不良之徒和犯罪組織。不得不提的是，Zerodium的創(chuàng)始人名叫貝克拉（Chaouki Bekrar），除了安全公司Zerodium，他在法國(guó)巴黎也開了一家名叫Vupen的公司。這家法國(guó)公司專門開發(fā)針對(duì)知名軟件的攻擊手段，然后將漏洞和攻擊方式轉(zhuǎn)讓給全世界的政府情報(bào)部門。

外媒分析稱，Zerodium高價(jià)征集iOS 9漏洞的行為，實(shí)際已相當(dāng)于構(gòu)成黑客灰色產(chǎn)業(yè)鏈的中間角色。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。