當(dāng)前位置：安全 → 企業(yè)動(dòng)態(tài) → 正文

Zimperium砸150萬(wàn)美元搜羅移動(dòng)N日漏洞利用

責(zé)任編輯：editor004 作者：nana |來(lái)源：企業(yè)網(wǎng)D1Net 2017-02-06 11:41:03 本文摘自：安全牛

Zimperium啟動(dòng)漏洞利用收購(gòu)項(xiàng)目，目標(biāo)為iOS和安卓N日漏洞，對(duì)零日漏洞毫無(wú)興趣。

漏洞獎(jiǎng)勵(lì)項(xiàng)目的存在，就是為了鼓勵(lì)研究人員找到并報(bào)告零日漏洞。其中理論在于，漏洞被補(bǔ)上，而威脅隨之而逝。但事實(shí)上，零日漏洞往往會(huì)成為N日漏洞利用。此處的“N”，指的是從補(bǔ)丁放出到部署的間隔天數(shù)。在此期間，N日漏洞利用的危險(xiǎn)程度，堪比零日。

移動(dòng)世界里該問(wèn)題尤其突出，因?yàn)閿?shù)百萬(wàn)用戶都會(huì)因?yàn)楦靖采w不到大多數(shù)手機(jī)的糟糕的部署過(guò)程，而在相當(dāng)長(zhǎng)的時(shí)間里處于危險(xiǎn)之中。現(xiàn)在，2015年2月獲得1200萬(wàn)美元B輪融資的Zimperium公司，宣布成立zLab，并拿出150萬(wàn)美元投入N日漏洞利用收購(gòu)項(xiàng)目，希望能提升移動(dòng)世界的安全狀況。

CTO兼創(chuàng)始人祖克·亞伯拉罕解釋稱：“不幸的是，手機(jī)操作系統(tǒng)的安全補(bǔ)丁過(guò)程非常滯后，讓公司和個(gè)人面對(duì)幾十個(gè)安全威脅束手無(wú)策。通過(guò)zLab的新漏洞利用收購(gòu)項(xiàng)目，我們的客戶、合作伙伴和網(wǎng)絡(luò)安全社區(qū)其他團(tuán)體，都將收到這些漏洞的通告，得以提供最高水平的可能防護(hù)。”

祖克·亞伯拉罕

實(shí)際和期望效果有很多。首先就是，一旦某N日漏洞利用曝光，將會(huì)對(duì)手機(jī)生態(tài)系統(tǒng)造成壓力，促成安全過(guò)程更新的重新思考和改善。其次，它可以鼓勵(lì)和獎(jiǎng)勵(lì)那些，在漏洞獎(jiǎng)勵(lì)環(huán)境下，一旦漏洞被廠商獲知就讓利用程序開(kāi)發(fā)努力秒變無(wú)用功的研究人員們。

再次，這將促成一個(gè)更安全的手機(jī)市場(chǎng)。有了研究人員的認(rèn)可，漏洞利用程序?qū)⒈话l(fā)布給Zimperium手機(jī)聯(lián)盟(ZHA)的成員。該聯(lián)盟包括了三星、軟銀、特斯拉、黑莓，及超過(guò)30家全球著名手機(jī)廠商和移動(dòng)運(yùn)營(yíng)商。Zimperium將在1到3個(gè)月后公開(kāi)發(fā)布?xì)w功于研究人員的漏洞利用。

第四，就是Zimperium自己的獎(jiǎng)勵(lì)了。它將利用那些漏洞利用程序及其中蘊(yùn)含的技術(shù)，來(lái)增強(qiáng)它自己的機(jī)器學(xué)習(xí)z9威脅檢測(cè)引擎的能力。這將使客戶能在補(bǔ)丁發(fā)布和部署前就能扛住這些漏洞利用。

對(duì)出產(chǎn)相關(guān)N日漏洞利用的研究人員來(lái)說(shuō)，報(bào)告過(guò)程相對(duì)簡(jiǎn)單。在nothuman.ninja上給ninja_exploits發(fā)郵件，描述漏洞利用程序，引用CVE編號(hào)，解釋漏洞利用鏈的工作機(jī)制，然后聲明愿不愿意公開(kāi)發(fā)布代碼并接受報(bào)酬。

然后，漏洞利用將接受zLab委員會(huì)的評(píng)估，給出研究人員應(yīng)得的報(bào)酬額度。作為規(guī)則，關(guān)鍵漏洞——比如說(shuō)完整的遠(yuǎn)程漏洞利用鏈，將收到比本地漏洞利用更多的報(bào)酬。如果能夠觸發(fā)更老機(jī)型/OS上的漏洞，也會(huì)給出相應(yīng)的提示。

2月1日的博文中，亞伯拉罕寫道：“這很簡(jiǎn)單，我們會(huì)購(gòu)買除最新iOS/安卓版本之外任何版本的遠(yuǎn)程和本地漏洞利用。”

有一點(diǎn)可能會(huì)引發(fā)爭(zhēng)議：通過(guò)鼓勵(lì)N日漏洞利用的開(kāi)發(fā)，并將其解決方案集成到z9檢測(cè)引擎中，Zimperium其實(shí)是在增加非Zimperium用戶的風(fēng)險(xiǎn)。亞伯拉罕反駁此種論點(diǎn)稱：“雖然個(gè)人手機(jī)用戶不能立即看出該項(xiàng)目的好處，但我們真的是在盡力加固用戶接收安全更新的方式。”

高明的攻擊者，不會(huì)等到該項(xiàng)目來(lái)研究月度安全通報(bào)。這些漏洞已經(jīng)存在且被高端黑客探索利用了。向Zimperium手機(jī)聯(lián)盟貢獻(xiàn)這些漏洞，然后安全社區(qū)也會(huì)知曉，這樣漏洞被利用于針對(duì)性攻擊的機(jī)會(huì)就會(huì)降低了，增加了運(yùn)營(yíng)商阻止此類攻擊的機(jī)會(huì)，以及廠商分配資源提供更新的機(jī)會(huì)，有益于整個(gè)生態(tài)系統(tǒng)。

實(shí)際上，該模式是對(duì)Zimperium已經(jīng)著手的事務(wù)的規(guī)范化與補(bǔ)強(qiáng)。2015年9月，Zimperium公布了一個(gè)安卓Stagefright的關(guān)鍵漏洞利用。該漏洞已經(jīng)被谷歌打上補(bǔ)丁，但一個(gè)已公開(kāi)的漏洞利用的存在，迫使安卓供應(yīng)商部署該補(bǔ)丁。

減少N日漏洞利用存活期的任何努力，無(wú)疑都是有益的。但如果150萬(wàn)美元都花光了會(huì)怎么樣呢？“那就有大問(wèn)題了。取決于項(xiàng)目的成功程度，可能會(huì)增加投入吧。”

關(guān)鍵字：Zimperium