六個月前,Google發布了一項針對Android系統的入侵獎金計劃,該計劃提出只要有誰可以在僅知道受害者的電話號碼和電子郵件的前提下遠程侵入安卓設備,那么將會獲得谷歌提供的20萬美金的高額獎金。不過令人尷尬的是,該獎金計劃至今無人問津。
雖然這聽起來像是個好消息,像是證明了安卓系統足夠的安全性。但是真的是因為這個原因,才導致的該計劃遭人冷落嗎?其實事實并非如此,早在該計劃提出的初期就有人指出,20萬美金的獎金實在太低,因此也不會有人愿意參與該入侵獎金計劃。
一位用戶在去年九月份在原公告下,如是回復:“如果可以實現像該入侵獎金計劃說的那樣,我覺得這個漏洞可以以更高的價格出售給其他公司或實體。”
另外一個人說:“許多買家可以支付遠超這個金額的價錢,200K美金不值得我們在干草堆下去找針。”
迫于人們的說辭Google不得不被迫承認這一點,并在本周的一篇博文中指出,“考慮到要贏得這場比賽的bug類型,我們的獎金可能真的太低了。”據該公司的安全團隊說,之所以人們對于該獎金計劃缺乏興趣,原因可能是因為這些漏洞的高度復雜性,以及不規則的市場競爭導致的。
為了在Android設備上獲得root或內核權限,攻擊者必須將多個漏洞結合在一起利用。例如他們至少需要獲取一個系統的缺陷,并利用該缺陷在該設備上遠程代碼執行,然后還需要一個特權提升漏洞來轉義應用程序沙箱。
而根據官方公布的Android每月安全公告可以知道,Android并不存在所謂的特權提升漏洞。然而在Google這次的入侵獎金計劃中卻明確要求,參賽者不允許與目標用戶產生任何過多形式的交互。這也就意味著,攻擊者需要在沒有用戶點擊惡意鏈接,訪問惡意網站,或接收打開惡意文件等前提下,實現對目標安卓系統的成功利用。
這個規則大大限制了研究人員可以用來攻擊設備的切入點。因此我們要找的第一個漏洞切入點,將不得不在位于操作系統的內置消息傳遞功能如SMS(短信服務)或MMS(彩信服務)上 –它們都可能會受到蜂窩網絡的攻擊。
早在2015年的時候,移動安全公司Zimperium的研究人員,就曾在Android核心媒體處理庫中發現了符合該類漏洞標準的,一個名為Stagefright的漏洞。攻擊者只需簡單的將特制的媒體文件存放到設備上,就可以成功利用。該漏洞在當時也引發了大范圍的修補潮。
這樣一來,攻擊者只需向目標用戶發送彩信(MMS),并且不需要再與他們產生任何其他的交互,就可以成功的利用攻擊者的設備。
在該漏洞被曝出后,許多類似的漏洞也在Stagefright和其它一些Android媒體處理組件中被挖掘出來。為此Google更改了內置消息傳遞應用的默認行為,不再自動進行彩信的檢索,因此對該漏洞的利用也幾乎成為了不可能。
Zimperium的創始人兼董事長Zim Avraham在一封電子郵件中說道:“遠程的,無交互的bug是非常罕見的,需要很多的創造力和復雜性。這些東西的價值也足以超過20萬美金的獎金。
一家名為Zerodium的漏洞收購公司,也為遠程Android越獄提供了20萬美元的漏洞獎金,但他們并沒有對用戶的交互做限制。
讓我們來思考一個問題,既然在黑市可以通過一些簡單的攻擊,就能獲取相同甚至更多的金額,那么為什么還要設立如此高難度的攻擊項目呢?
Google的Project Zero團隊成員Natalie Silvanovich在博客中表示:“總的來說,這次比賽是一次學習經歷,我們希望把我們學到的東西,放到Google的獎勵計劃和未來的比賽當中。”最后,該團隊也希望安全研究人員能積極的提出他們的意見和建議。
雖然這次Google的入侵獎金計劃失敗了,但是不可否認Google多年以來所執行的許多成功的安全獎勵計劃,包括軟件和在線服務。
作為廠商來講,是不可能像那些網絡罪犯或漏洞經紀人那樣,以高價來收購那些安全漏洞的。而廠商的漏洞懸賞項目,也僅針對那些有責任心的安全研究人員所設立。
*參考來源 :networkworld,FB小編 secist 編譯,轉載請注明來自FreeBuf(FreeBuf.COM)
京公網安備 11010502049343號