Zerodium漏洞平臺(tái)的交易顯示，市場(chǎng)已經(jīng)準(zhǔn)備好迎接價(jià)值100萬(wàn)美元甚至更高的零日漏洞利用代碼。

法國(guó)公司Vupen Security被稱(chēng)為網(wǎng)絡(luò)軍火商，它的主要業(yè)務(wù)是挖掘漏洞獲取賞金，而不是進(jìn)行修復(fù)漏洞。漏洞經(jīng)銷(xiāo)平臺(tái)Zerodium則脫胎于Vupen。本月初，Zerodium宣布，它同意為某蘋(píng)果iOS漏洞利用代碼支付100萬(wàn)美金，該漏洞可以完全入侵該移動(dòng)操作系統(tǒng)。然而漏洞的平均價(jià)格仍在數(shù)千至數(shù)萬(wàn)美元水平上，過(guò)去只有極少數(shù)交易的價(jià)格超過(guò)10萬(wàn)美金。100萬(wàn)美元的賞金似乎對(duì)于該行業(yè)是一個(gè)突破性的量級(jí)增長(zhǎng)。當(dāng)然，在灰色的地下交易市場(chǎng)中，這樣的價(jià)格也并非沒(méi)有出現(xiàn)過(guò)，而為其支付巨額購(gòu)買(mǎi)款的很可能是政府力量。高價(jià)格是由供求關(guān)系和時(shí)機(jī)需要而決定的。

雖然沒(méi)有實(shí)際證據(jù)表明Zerodium真的付出了100萬(wàn)美元，但考慮到存在某些特定類(lèi)型的買(mǎi)家，這個(gè)金額并不是完全不合情理。而且近年來(lái)，尋找和發(fā)現(xiàn)漏洞的難度逐漸加大也可能會(huì)導(dǎo)致賞金額度的攀升。

收購(gòu)了原惠普公司漏洞研究團(tuán)隊(duì)Zero-Day Initiative的趨勢(shì)公司全球威脅公關(guān)經(jīng)理克里斯托弗·巴德（Christopher Budd）稱(chēng)：“由于安全性的提升，我們?cè)谶^(guò)去幾年中看到的產(chǎn)品已經(jīng)很難找到漏洞。這影響了供求關(guān)系，也提升了研究人員的需求。”

事實(shí)上，主流軟件中出現(xiàn)并被修復(fù)的漏洞反而增加了漏洞的數(shù)量。比如，在2012年，谷歌提升了對(duì)Chrome瀏覽器漏洞的賞金額度，表明發(fā)現(xiàn)新安全漏洞的難度正在加大。“最終，隨著軟件變得更加強(qiáng)大，開(kāi)發(fā)者對(duì)安全的了解進(jìn)一步深入，黑客如果想要得到穩(wěn)定的控制權(quán)限，必須同時(shí)使用多個(gè)漏洞和多項(xiàng)技術(shù)。這將需要更高的技能和時(shí)間成本，也將提升尋找漏洞能力的價(jià)值。”

也有反對(duì)此觀點(diǎn)的聲音。有人認(rèn)為，盡管在表面上100萬(wàn)美元的賞金表明市場(chǎng)價(jià)格正在升高。針對(duì)iOS平臺(tái)這個(gè)特定環(huán)境而言，高價(jià)格可能更多地來(lái)源于需求，而不是供給。很有可能的是，買(mǎi)家非常需要入侵iOS設(shè)備，并且樂(lè)意買(mǎi)賬。

誰(shuí)會(huì)樂(lè)意為移動(dòng)端零日漏洞付出100萬(wàn)美金呢？潛在的買(mǎi)家名單非常短。一些安全公司可能樂(lè)意付給研究人員這么多錢(qián)，購(gòu)買(mǎi)漏洞的信息，以加強(qiáng)自家安全產(chǎn)品的防御措施。通常而言，對(duì)這類(lèi)漏洞感興趣的都是安全防御公司，它們尋找稀有，但是非常高優(yōu)先級(jí)的漏洞。雖然可能沒(méi)有哪一家公司樂(lè)意付出100萬(wàn)美金，一項(xiàng)支持?jǐn)?shù)家安全企業(yè)的服務(wù)可能會(huì)為高優(yōu)先級(jí)漏洞支付可觀的價(jià)格。

盡管對(duì)如此大額的賞金而言，最可能的解釋是，一個(gè)或多個(gè)情報(bào)機(jī)構(gòu)需要破解特定手機(jī)的技術(shù)，并且愿意付錢(qián)。政府是最有可能的買(mǎi)家。

每次蘋(píng)果發(fā)布新的操作系統(tǒng)版本，比如iOS 9，就會(huì)同時(shí)修復(fù)舊的漏洞，這導(dǎo)致情報(bào)機(jī)構(gòu)爭(zhēng)相尋找新的漏洞。由于iOS 9的更新率在發(fā)布僅三天后就達(dá)到了五成，如果無(wú)法很快找到新的漏洞，情報(bào)機(jī)構(gòu)就真的要「摸黑」了。”

對(duì)于所有該漏洞的潛在買(mǎi)家而言，「摸黑」的風(fēng)險(xiǎn)至關(guān)重要。如果軟件存在漏洞，只要開(kāi)發(fā)人員發(fā)布修復(fù)，漏洞買(mǎi)家手中的信息就等于無(wú)效化了。

比如，這個(gè)iOS漏洞的買(mǎi)家可能是蘋(píng)果公司，他們支付100萬(wàn)美元，以在黑客利用漏洞之前消除危險(xiǎn)。然而，只有微軟、臉書(shū)、谷歌這三家公司曾為了自家產(chǎn)品的漏洞付錢(qián)，沒(méi)有一家曾經(jīng)付過(guò)12萬(wàn)美金以上的價(jià)格。

這則100萬(wàn)美元買(mǎi)漏洞的消息引起了安全圈的震動(dòng)。一些批評(píng)者希望蘋(píng)果能夠幫忙修復(fù)漏洞，另一些人則指出，無(wú)論是漏洞的存在還是交易本身都無(wú)法確證，他們認(rèn)為這次事件屬于公關(guān)噱頭。還有一些人擔(dān)心此漏洞會(huì)讓政府更加容易地監(jiān)控公民。

然而，不論這次的買(mǎi)家究竟是誰(shuí)，漏洞賞金額度正在提升是不爭(zhēng)的事實(shí)。

隨著信息技術(shù)滲透進(jìn)日常生活的方方面面，利用漏洞滲透進(jìn)核心軟件將成為秘密監(jiān)控的最好方式。因此防御安全機(jī)構(gòu)和情報(bào)機(jī)構(gòu)都能夠從零日漏洞中發(fā)現(xiàn)巨大的價(jià)值。

IT安全企業(yè)必須跟上競(jìng)業(yè)同行的腳步，如果公司不購(gòu)買(mǎi)最新的漏洞信息，就可能發(fā)現(xiàn)自己已經(jīng)落后于競(jìng)爭(zhēng)對(duì)手。類(lèi)似的因素也驅(qū)使國(guó)家購(gòu)買(mǎi)漏洞。美國(guó)政府不再購(gòu)買(mǎi)零日漏洞可能嗎？伊朗呢？朝鮮呢？這個(gè)市場(chǎng)主要由國(guó)家和政府推動(dòng)，只要一方購(gòu)買(mǎi)，其他國(guó)家也必須跟進(jìn)，尤如軍備競(jìng)賽。