[[149953]]

蘋果 iOS 開(kāi)發(fā)平臺(tái)被“XCodeGhost”木馬感染，導(dǎo)致大量 iOS 版本的應(yīng)用軟件成為“惡意軟件”，這一重大事件，讓“蘋果 iOS 安全性超過(guò)安卓”的“神話”被徹底擊碎。許多果粉驚訝，原來(lái)蘋果手機(jī)和平板也如此不堪一擊！

蘋果 iOS 系統(tǒng)的漏洞，遠(yuǎn)遠(yuǎn)不止上述一宗。據(jù)外媒報(bào)道，一家國(guó)外安全公司日前宣布，將最高花費(fèi) 300 萬(wàn)美元采購(gòu)蘋果 iOS9 操作系統(tǒng)中的“零日漏洞”。

所謂“零日漏洞”，指的是漏洞在曝光之后快速被網(wǎng)絡(luò)黑客所利用發(fā)動(dòng)攻擊，相關(guān)的廠商甚至來(lái)不及發(fā)布補(bǔ)丁修補(bǔ)漏洞。對(duì)于黑客灰色產(chǎn)業(yè)鏈而言，“零日漏洞”的價(jià)值遠(yuǎn)遠(yuǎn)超過(guò)常規(guī)的漏洞。

據(jù)美國(guó)科技新聞網(wǎng)站“連線”報(bào)道，本周一，一家名為 Zerodium 的公司對(duì)外宣布，出價(jià) 100 萬(wàn)美元征集 iOS9 操作系統(tǒng)的“零日漏洞”。另外如果漏洞的價(jià)值足夠大，該公司愿意為一個(gè)漏洞支付最高 300 萬(wàn)美元的價(jià)格。

這是歷史上安全公司或者其他需要軟件漏洞的情報(bào)部門，為單一漏洞開(kāi)出的最高價(jià)碼。

該公司征集的 iOS9 系統(tǒng)漏洞，可以被用來(lái)通過(guò)遠(yuǎn)程方式攻擊蘋果手機(jī)或平板，或是通過(guò)網(wǎng)頁(yè)應(yīng)用、移動(dòng)軟件，甚至是傳統(tǒng)短信等方式，對(duì)蘋果設(shè)備發(fā)動(dòng)攻擊。

該公司表示，通過(guò)安全性能的不斷增強(qiáng)，蘋果 iOS 目前已經(jīng)是最安全的移動(dòng)操作系統(tǒng)，“但是不要被愚弄了，安全并不意味著牢不可破。”該公司表示，所謂的安全只是意味著黑客在利用其軟件漏洞發(fā)動(dòng)攻擊的復(fù)雜性和成本最高。

征集到這些蘋果 iOS 漏洞之后作何用途？這家公司并未對(duì)外宣布。

據(jù)報(bào)道，Zerodium 的創(chuàng)始人名叫貝克拉（Chaouki Bekrar），在所謂的安全漏洞灰色市場(chǎng)中，此人大名鼎鼎。除了這家安全公司之外，他還在法國(guó)巴黎開(kāi)辦了一家名為 Vupen 的公司。

這家法國(guó)公司的業(yè)務(wù)頗受爭(zhēng)議，他們專門開(kāi)發(fā)針對(duì)知名軟件的攻擊手段，然后將漏洞和攻擊方式轉(zhuǎn)讓給全世界的政府情報(bào)部門。

美國(guó)媒體指出，通過(guò)高價(jià)征集 iOS9 的漏洞，貝克拉實(shí)際上已經(jīng)成為一種“黑客中間人”的角色。

在更主流的網(wǎng)絡(luò)安全行業(yè)中，如果一家安全公司發(fā)現(xiàn)了漏洞，將會(huì)報(bào)告給微軟、蘋果和谷歌等公司開(kāi)發(fā)漏洞補(bǔ)丁，而在補(bǔ)丁發(fā)布之后，安全公司會(huì)通過(guò)行業(yè)大會(huì)等發(fā)布漏洞，借此提高公司在行業(yè)內(nèi)的聲望，另外蘋果、谷歌等公司也會(huì)通過(guò)現(xiàn)金的方式，對(duì)主動(dòng)報(bào)告漏洞表示感謝。

在相關(guān)廠商置之不理的情況下，一些安全公司和專家也會(huì)主動(dòng)向科技媒體進(jìn)行爆料，提醒相關(guān)產(chǎn)品的用戶注意安全防范。

和常規(guī)做法不同的是，貝克拉和他的 Vupen 公司，不會(huì)主動(dòng)報(bào)告漏洞，而是通過(guò)轉(zhuǎn)讓來(lái)謀取利益。不過(guò)該公司的轉(zhuǎn)讓對(duì)象是否包括不良之徒和犯罪組織，尚不得而知。

安全漏洞灰色市場(chǎng)的存在已經(jīng)不是秘密。谷歌、微軟等公司都會(huì)花費(fèi)重金向安全行業(yè)征集自家軟件的漏洞。

七月份據(jù)美國(guó)媒體報(bào)道，美國(guó)海軍的情報(bào)部門也曾經(jīng)向安全行業(yè)“收購(gòu)”知名軟件的安全漏洞，收購(gòu)內(nèi)容中還包括可以發(fā)動(dòng)網(wǎng)絡(luò)攻擊的二進(jìn)制程序。這些漏洞是“零日漏洞”或是“N日漏洞”。

此前，英國(guó)路透社曾經(jīng)報(bào)道，美國(guó)政府情報(bào)部門是全世界最大的“零日漏洞”買家，尚未被公開(kāi)的高價(jià)值“零日漏洞”起價(jià)高達(dá) 5 萬(wàn)美元。