Android攻擊程式價格首度超越iOS!喊價最高近8千萬 較去年飆漲12倍 

▲以往由於Android的安全性不如iOS來得高,因此其攻擊程式賞金平臺上的價格也較低。(圖/CFP)

記者王曉敏綜合外電報導

專門收購零時差漏洞與攻擊程式的系統安全資訊公司Zerodium日前更新其最新的攻擊程式收購價目表整份價目表喊價最高的是Android平臺的零點擊(Zero Click)漏洞完整利用鏈,該漏洞喊價達250萬美元(約新臺幣7905萬元),首度超越iOS系統。

以往由於Android的安全性不如iOS來得高,因此其攻擊程式在賞金平臺上的價格也較低,不過根據最新的價目表,Zerodium將針對Android平臺的零點擊漏洞完整利用鏈支付高達250萬美元的獎金,而同樣的漏洞在iOS系統上最高則喊價200萬美元(約新臺幣6324萬元)。值得一提的是,一年前,Zerodium爲此類Android漏洞開出的價格僅20萬美元(約新臺幣632萬元),經過一年,價格卻翻漲12倍,更首度超越iOS系統。

▲Zerodium最近公佈最新的攻擊程式收購價目表。(圖/取自Zerodium)

針對即時通訊軟體的攻擊程式價格也水漲船高,WhatsApp及iMessage的零點擊漏洞回報價格從去年的100萬美元(約新臺幣3162萬元)調漲至最高150萬美元(約新臺幣4743萬元)。不過,針對對蘋果iOS的一次點擊(1-click)漏洞持久化完整利用鏈報價則從先前的150萬美元調降至100萬美元,針對iMessage的遠端程式碼執行(RCE)以及本地權限升級(LPE)非持久化漏洞利用鏈的報價同樣較去年調降至50萬美元(約新臺幣1581萬元)。

Zerodium表示,這種調整主要是爲迎合市場趨勢。該公司創辦人執行長克雷爾(Chaouki Bekrar)接受媒體採訪時表示,過去幾個月來,針對iOS的漏洞利用數量有所增加,其中大部分都是針對Safari及iMessage的漏洞利用鏈,而目前世界各地的研究人員大部分也都在針對這類漏洞進行研究、開發及銷售。「目前的零點及漏洞市場上,iOS漏洞已經接近飽和,因此我們最近也在減少iOS漏洞的採集數量。另一方面,Google及三星的安全團隊一直致力於提升Android平臺的安全性,使近來Android系統的安全性有了顯著的提升,這也導致針對Android平臺的完整漏洞利用鏈開發難度變得越來越高,耗時也愈來愈長。」

貝克雷爾日前曾談到,該公司客戶對利用鏈有着特定的要求,因此,該公司會適當地調整漏洞提交的獎金。換句話說,Zerodium此番報價調整意味着政府或執法機構對獲取Android系統軟體漏洞的興趣有所提升。Zerodium指出,該平臺提供的零點擊漏洞獎金額度,取決於受影響軟體或系統的流行程度安全係數及其所提交的漏洞質量,「包括涉及的漏洞利用煉是否完整,其所支援的版本、系統及架構類型,以及是否能夠繞過一些安全防護措施等等。」