《名利場》最近刊文介紹了零日漏洞及其背后的黑市交易(主要賣給政府)、介紹這些漏洞如何被用于進行間諜活動,以及這整個“行業”是如何形成的。其實說到零日漏洞,相信大部分 iOS 設備用戶應該都不陌生,因為就早今年 8 月份曾有智能手機安全公司披露,蘋果的 iOS 操作系統存在 3 個安全漏洞,均屬于“零日漏洞”,會被一種復雜的間諜軟件利用對特定蘋果手機用戶發動持續攻擊。
蘋果 iOS 操作系統的 3 個關鍵安全漏洞被命名為“三叉戟”,它們屬于“零日漏洞”,即被黑客發現后立即被惡意利用的安全漏洞。“三叉戟”被一個名為“飛馬”的間諜軟件利用,所形成的攻擊鏈可以突破蘋果 iOS 操作系統強大的安全防護。不過后來蘋果公司很快就修復了這幾個漏洞。
恰好在《名利場》的這篇長文中也談到了蘋果公司僅用 10 天時間就修復了 iOS 系統 3 個零日漏洞的事情。有興趣的用戶可以了解一下。
“2010 年真正屬于零日漏洞的黑市開始出現了。而它發展的轉折點是在法國一家名為 Vugen 的公司開始給發現零日漏洞的人提供獎勵之后,據稱這家公司的獎勵最高為 25 萬美元。Vugen 堅稱他們的目的是保證軟件的安全,即使外界一直質疑,他們的目的是否真的是這么高尚。后來惠普和微軟等公司也應聲而動,也公布了他們的零日漏洞獎勵機制。雖然這些科技公司的獎勵都沒有 Vugen 等公司的高,但至少能讓白帽黑客不至于昧著自己的良心去賺錢。而且作為一名曾經的黑客,他們最后可能還會獲得價格不菲的顧問合同。”
“當初在 iOS 系統中發現漏洞時,研究小組中有的人覺得應該馬上通知蘋果,而也有人覺得再等等,等他們研究了解全部相關的東西之后再通知。但是 iPhone用戶承擔的風險實在太大了,因此他們最終決定給蘋果電話,而蘋果方面給他們的回應則讓他們有點哭笑不得。研究小組告訴蘋果他們可以遠程越獄,然后對方回答大概就是,‘是是是,我們之前也見過這種情況——把你們手頭的東西都發給我們吧。’研究小組照做了,幾個小時之后蘋果回電了,然后非常嚴肅地說:‘好的,把你們手頭所有的東西都發過來吧。’”
“這通電話之后,蘋果公司竟然在 10 天之內就修復了 3 個零日漏洞,很多與這件事相關的人都覺得這堪稱工程壯舉。蘋果方面發言人拒絕就此發表評論,但是硅谷一名與蘋果合作密切的安全顧問表示,‘蘋果以前也沒有見過這樣的漏洞——從未見過。這是一種非常成熟的國家級的攻擊,從范圍上來說它時驚人的。可以說蘋果能在這么短的時間內修復了這些漏洞,他們是付出了巨大的努力。這些漏洞要是不能早日修復,勢必招致重大的麻煩。’”
“這些網絡武器分銷商所做的事情就是讓數字監控民主化。曾經只有大型政府部門才會使用這些監控工具,可是如今只要有錢,誰都能用。說不定哪天它們就會出現在你的 iPhone 上。”
京公網安備 11010502049343號