文｜三易生活

手機里的App為什么總是要更新？這是一個在網絡上引發了大量網友共鳴的問題，除了添加新功能以滿足用戶的更多需要之外，修復漏洞無疑是更新日志上最常出現的詞匯。畢竟世界上不存在沒有BUG的軟件，以至于互聯網廠商軟件團隊的一項核心工作就是修BUG。然而人力終有窮，再強大的互聯網巨頭也做不到憑一己之力去發現自己軟件的所有漏洞。

如此一來，許多廠商就選擇了群策群力，推出“漏洞賞金計劃”來調動外界的積極性，例如蘋果、谷歌、微軟、Meta等大廠的賞金計劃更是動輒以百萬美元為單位。蘋果安全工程和架構負責人Ivan Krstic是這樣形容漏洞賞金計劃的，“把絕大部分致命漏洞找出來是很難的，為了獎勵研究者所花費的時間、精力，以及富有創造力的發現，蘋果才設置這么（100萬美元）龐大的獎金池”。

可白帽黑客、安全研究人員對于這些大廠的漏洞賞金計劃卻并沒有趨之若鶩，以至于谷歌在最近就宣布，在8月31日之后，安全研究人員將無法再通過GPSPR計劃向其提交漏洞。GPSPR即Google Play安全獎勵項目，是谷歌在2019年推出的一項針對Google Play商店的漏洞懸賞計劃，當研究人員發現漏洞并提交給谷歌后，谷歌將會按照漏洞危害程度提供不同的現金獎勵。

對于GPSP被關閉的原因，谷歌的說法是研究人員向谷歌提交的漏洞報告逐漸減少。那么問題就來了，Android生態的安全性真的越來越高，以至于真正意義上的漏洞變得屈指可數了？當然不是，畢竟谷歌自己發布的報告就否認了這一說法。

根據谷歌方面在3月中旬公布的信息顯示，其在2023年向全球632名安全專家發放了超過1000萬美元的賞金，以酬謝他們發現、并負責任地報告谷歌旗下產品和服務中的安全漏洞。據悉在這1000萬美元里，有關Android系統和應用的漏洞賞金就高達340萬美元，也是其中最大的一份。并且谷歌還宣布將Android關鍵漏洞的最高獎勵金額提高到15000美元，從而推動了更多的安全研究人員報告他們的發現。

如果Android真的變得無懈可擊，谷歌又何必給全世界的安全專家發錢，并進一步提高金額呢？比如就在數天前，谷歌發布了本月的Android安全更新，修補了46個不同的漏洞，其中還包括了一個已經遭到利用的“零日漏洞”。對此，一個更有可能的結論，是被提交給谷歌的Android漏洞變少，并不是Android本身變得更安全了，而是研究人員不再傾向于將漏洞交給谷歌。

事實上，不僅僅是谷歌、蘋果等大廠在收購自家產品的漏洞，市面上也有一大批第三方公司在進行類似的操作。早在2019年，專門收購和出售零日漏洞的公司Zerodium就曾宣布，為一個Android漏洞支付了高達250萬美元的費用。近期也有阿聯酋的Crowdfense公司宣布，斥資3000萬美元收購各種手機、軟件等主流產品的漏洞。

上述這些漏洞灰色產業鏈，無疑是一個讓各大廠商感到頭疼的東西。由于Android在移動操作系統市場的領先地位，以及智能手機早已滲透到大量用戶日常生活中的方方面面，特別是銀行、支付工具的數字化讓用戶的資產與手機產生了強關聯，所以也導致對Android系統的攻擊已經成為了黑客獲取超額收益的主要場景。

通過漏洞攻克Android系統的防護對于黑客而言，就是用鑰匙打開了金庫的保險門。那么問題也隨之而來，為什么安全漏洞的發現者往往更愿意將漏洞賣給類似Crowdfense這樣的中間商，或是干脆在黑市上直接賣給黑灰產團隊呢？原因當然是因為他們發現，從這些組織獲得的回報要遠遠超過將漏洞提交給相關所獲得的獎勵。

相比于見不得光的黑灰產團隊或中間商，市值兩萬億美元的谷歌顯然是無可爭議的龐然大物。但反直覺的是，相比于黑灰產，谷歌對于安全漏洞的出價往往更加吝嗇。比如谷歌為Android關鍵漏洞開出的價格是1.5萬美元，而中間商卻給到了高達250萬美元。其實出現這一現象的原因并不復雜，因為不同的組織對于安全漏洞的價值判斷方式并不一樣。

對于黑灰產團隊來說，漏洞的價值取決于借此所獲得的財富，即潛在收益。而相關企業眼中，如果漏洞始終未覺，則其對于企業來說則皆如無形、也無損企業資產分毫，所以這就使得漏洞的價值是由測試漏洞的成本來決定。顯而易見，以破壞而非建設為目的黑灰產團隊，自然會對漏洞的價值開出更高的價碼。

同時由于互聯網上信息傳播的特質，特別是一些高隱私性網絡的存在，導致安全研究人員向黑灰產出售漏洞的風險大幅降低。因此從安全研究人員的角度出發，既然已經是在做“挖洞致富”的活，自然就是哪邊出價高就賣給哪邊了。