移动安全公司Zimperium推出了一项漏洞获取计划,目的是将针对已经修补过的漏洞的未公开攻击代码公开。
为旧的漏洞买单似乎是一种浪费金钱的行为,但有技术和商业上的理由来证明这样一个收购系统是合理的,它们最终与漏洞和漏洞之间的区别有关。
漏洞是具有潜在安全隐患的软件缺陷,而漏洞是利用该缺陷实现特定恶意目标的实际代码,通常通过绕过其他安全障碍实现。
在实践中,许多被报告给供应商的漏洞并没有伴随着有效的漏洞。显示编程错误可能导致内存损坏通常足以让供应商理解其潜在影响——例如,任意代码执行。
如果软件供应商了解这个bug并承诺修补它,那么通常没有必要花时间编写一个完全成熟的漏洞,绕过沙箱或像SELinux、DEP和ASLR这样的操作系统安全机制来证明恶意代码的执行。
但事实并非如此,因为那些所谓的“武器化”漏洞正在秘密地向恶意黑客或政府机构出售,以赚取大笔金钱。这些漏洞需要功能齐全、可靠,并且在大多数情况下,针对的是用户无法防御的未修补的漏洞,这就是为什么它们被称为零日漏洞。
但是,当漏洞被独立发现并被供应商修补后,漏洞失去了零日状态,会发生什么呢?攻击代码公开了吗?不总是正确的。
我们真的没有办法知道这些年来有多少零日漏洞被供应商修复了,并且一直保密到今天。或者有多少漏洞编写者抓住以前的零日漏洞,希望它们对旧设备仍然有价值。
值得记住的是,并不是每个黑客都是一个bug猎手,也不是每个bug猎手都是一个漏洞作者。这些行动需要不同的技能。有许多成功的bug猎手没有必要的编程技能来编写在各种OS版本上可靠工作的成熟的攻击链。
Zimperium的创始人兼首席技术官Zuk Avraham说:“安全研究和开发是我们的核心,也是导致Zimperium走到这一步的原因。博客星期二。“我们欣赏利用的艺术,欣赏为了编写一个利用开发,绕过ASLR/KASLR,实现持久性等很酷的技巧。我们相信,我们可以从任何漏洞中学习,从而为我们的客户和合作伙伴提供更好的安全保障。”
该公司的移动安全技术被运营商和手机供应商用于数千万用户的大规模部署,甚至需要为不再支持和不接受安全更新的旧移动设备提供保护。在这样的设备上,旧的“N-days”漏洞(Zimperium这样称呼它们)仍然对攻击者有价值。
Avraham说:“对我们来说,支持旧设备是一个关键的决定,可以帮助我们解决更新政策令消费者失望的问题。”
该公司将获取远程和本地可利用的漏洞,以及可能导致信息泄露的漏洞。这些漏洞可以针对任何版本的Android或iOS系统,除了最新版本。
锌矿尚未公布计划收购的不同类型的矿藏的价格,因为每一种矿藏都将由一个特别委员会进行单独评估。不过,该公司已经为该项目拨款150万美元。
漏洞开发人员甚至可以分析手机操作系统制造商每月发布的补丁,为补丁漏洞编写有效漏洞并提交给程序,因为有效漏洞的存在可能会推动补丁在生态系统中的采用。
“Zimperium手机联盟(ZHA)的多个合作伙伴向我们解释说,如果没有可利用的证据,就很难说服安全团队为一个完整的补丁周期分配所需的资源,即使是已知的问题,”Avraham说。
Zimperium将利用这些漏洞来增强z9移动保护引擎,该引擎使用机器学习来检测和阻止网络、本地和应用程序攻击。它还将与ZHA分享这些漏洞,ZHA包括来自30多个全球设备制造商和运营商的安全团队成员。
Zimperiuym还计划在三个月后公开发布这些漏洞,除非作者明确要求该公司不要这样做。
“我们的目标是帮助社区、渗透测试人员、移动性和IT管理员更好地评估他们的安全性,保护他们的设备,”Avraham说。