谷歌的20万美元漏洞悬赏几乎无人问津

六个月前，谷歌掷出了一个20万美元的漏洞悬赏项目公告，大意是：

谁能在仅知道受害者电话号码和电邮地址的情况下，远程入侵对方的 Android 设备，20万美元的奖金，少侠拿好请慢走！

几乎无人迎战。（几乎二字几乎可以去掉）

听起来似乎是个好消息，这说明谷歌家的移动操作系统的安全性强？但这似乎不是理由，再安全的系统性也会有人愿意来挑战。真正的理由，其实从这个叫"Zero prize"的漏洞悬赏计划推出时就有人指出来了：

一个不依靠用户交互就能远程搞定设备权限的漏洞来说，20万美元真是少的令人发指！

一个用户在悬赏公告下方留言：“要是谁真的能做到这个，把漏洞卖给其他公司或者机构，早就赚翻了！”

市场不骗人，几个月后谷歌自己也被迫承认了这一点。于是就在上周（当地时间3月30日），他们发布了一篇博文表示：

考虑到比赛规则的难度，奖金数额确实是有点太低了。不过除了奖金太少，还可能和漏洞利用的高复杂性，以及规则太严格有关。

据小编了解，要远程获得一台设备的 Root 权限或者完全控制这台设备，攻击者可能得需要一连串的漏洞才能实现。要实现远程攻击，攻击者最起码要在手机应用中找到一个远程代码执行漏洞，要完全控制这台设备，又得需要一个权限提升漏洞来逃逸出应用程序的沙箱。

在这种情况下，谷歌还要求参赛者不借助用户交互的情况下完成攻击。也就是说，攻击者不能诱导用户去点击任何恶意链接、访问恶意网站、接受和打开任何文件等等。只需知道对方一个手机号码和电子邮件就直接搞定对方的设备。

这些严苛的规定明显限制了研究人员的攻击手法 —— 既然不能让受害者点击链接，诱导其下载APP，那么就只能是在手机内置的短信应用，或者在手机的固件、电话应用、蜂窝网络等底层软件来下文章了。

这无异于绑手绑脚了，最关键的是钱还给的少。

连安全公司Zimperium 的创始人兼董事长Zuk Avraham也忍不住在邮件中吐槽 （小编注：Zimperium 就是传奇黑客凯文·米特尼克加盟的去年那家安全公司）：

远程操作，不需要交互就能实现的BUG是非常少见的，需要开相当大的脑洞并结合高超的技艺才有可能实现，这个价值已经远远超过了20万美元了。

说来也巧，一家叫 Zerodium 的“安全漏洞军火商”公司也开出了20万美元的价格收购 Android 系统的漏洞，但是他们并没有限制攻击者使用链接、钓鱼等需要用户交互的手法。 一般情况下， Zerodium 收了这些漏洞之后会出售给执法机构和情报机构等客户。

对于技术人员来说，既然价格都是20万美元，为什么要在同样价格的情况下，去选一个难度更高的破解任务呢？还更别说在地下黑市，这些漏洞可能卖到更高的价格。

技术漏洞价值如何平衡？

尽管谷歌这一次的漏洞悬赏由于难度设置得太高，导致项目有些小失败。但是谷歌在技术漏洞悬赏方面，的确位于世界公司和机构的先列，此前他们也做过很多非常成功的安全奖励计划。

在技术漏洞的价值上，也一直存在一些争议。此前，小编发布了一篇名为《什么样的漏洞买得起北京二环一套房？》的文章。当时就有一位国内的网络安全专家直言不讳地告诉小编编辑：

技术漏洞的价值一直被严重低估，只有靠PR（公关活动）找回。国际巨型公司举牌价格有的比黑市低很多，好几倍，这就像个笑话。

这让小编编辑不禁联想到2015年安全团队VUPEN 团队吐槽知名黑客破解大赛 Pwn2own的事情。2015年，Pwn2Own 黑客大赛招募在即，此前的大赢家、首个公开破解Chrome浏览器的顶级黑客团队VUPEN 却宣布放弃。他们的团队创始人在社交媒体上公开吐槽：

你TM是在逗我吗？削减了奖金，然后大大提高难度，等2016年我再看看吧……