六個(gè)月前，Google發(fā)布了一項(xiàng)針對(duì)Android系統(tǒng)的入侵獎(jiǎng)金計(jì)劃，該計(jì)劃提出只要有誰(shuí)可以在僅知道受害者的電話號(hào)碼和電子郵件的前提下遠(yuǎn)程侵入安卓設(shè)備，那么將會(huì)獲得谷歌提供的20萬(wàn)美金的高額獎(jiǎng)金。不過(guò)令人尷尬的是，該獎(jiǎng)金計(jì)劃至今無(wú)人問(wèn)津。

雖然這聽起來(lái)像是個(gè)好消息，像是證明了安卓系統(tǒng)足夠的安全性。但是真的是因?yàn)檫@個(gè)原因，才導(dǎo)致的該計(jì)劃遭人冷落嗎？其實(shí)事實(shí)并非如此，早在該計(jì)劃提出的初期就有人指出，20萬(wàn)美金的獎(jiǎng)金實(shí)在太低，因此也不會(huì)有人愿意參與該入侵獎(jiǎng)金計(jì)劃。

一位用戶在去年九月份在原公告下，如是回復(fù)：“如果可以實(shí)現(xiàn)像該入侵獎(jiǎng)金計(jì)劃說(shuō)的那樣，我覺得這個(gè)漏洞可以以更高的價(jià)格出售給其他公司或?qū)嶓w。”

另外一個(gè)人說(shuō)：“許多買家可以支付遠(yuǎn)超這個(gè)金額的價(jià)錢，200K美金不值得我們?cè)诟刹荻严氯フ裔槨?rdquo;

迫于人們的說(shuō)辭Google不得不被迫承認(rèn)這一點(diǎn)，并在本周的一篇博文中指出，“考慮到要贏得這場(chǎng)比賽的bug類型，我們的獎(jiǎng)金可能真的太低了。”據(jù)該公司的安全團(tuán)隊(duì)說(shuō)，之所以人們對(duì)于該獎(jiǎng)金計(jì)劃缺乏興趣，原因可能是因?yàn)檫@些漏洞的高度復(fù)雜性，以及不規(guī)則的市場(chǎng)競(jìng)爭(zhēng)導(dǎo)致的。

為了在Android設(shè)備上獲得root或內(nèi)核權(quán)限，攻擊者必須將多個(gè)漏洞結(jié)合在一起利用。例如他們至少需要獲取一個(gè)系統(tǒng)的缺陷，并利用該缺陷在該設(shè)備上遠(yuǎn)程代碼執(zhí)行，然后還需要一個(gè)特權(quán)提升漏洞來(lái)轉(zhuǎn)義應(yīng)用程序沙箱。

而根據(jù)官方公布的Android每月安全公告可以知道，Android并不存在所謂的特權(quán)提升漏洞。然而在Google這次的入侵獎(jiǎng)金計(jì)劃中卻明確要求，參賽者不允許與目標(biāo)用戶產(chǎn)生任何過(guò)多形式的交互。這也就意味著，攻擊者需要在沒(méi)有用戶點(diǎn)擊惡意鏈接，訪問(wèn)惡意網(wǎng)站，或接收打開惡意文件等前提下，實(shí)現(xiàn)對(duì)目標(biāo)安卓系統(tǒng)的成功利用。

這個(gè)規(guī)則大大限制了研究人員可以用來(lái)攻擊設(shè)備的切入點(diǎn)。因此我們要找的第一個(gè)漏洞切入點(diǎn)，將不得不在位于操作系統(tǒng)的內(nèi)置消息傳遞功能如SMS(短信服務(wù))或MMS(彩信服務(wù))上 –它們都可能會(huì)受到蜂窩網(wǎng)絡(luò)的攻擊。

早在2015年的時(shí)候，移動(dòng)安全公司Zimperium的研究人員，就曾在Android核心媒體處理庫(kù)中發(fā)現(xiàn)了符合該類漏洞標(biāo)準(zhǔn)的，一個(gè)名為Stagefright的漏洞。攻擊者只需簡(jiǎn)單的將特制的媒體文件存放到設(shè)備上，就可以成功利用。該漏洞在當(dāng)時(shí)也引發(fā)了大范圍的修補(bǔ)潮。

這樣一來(lái)，攻擊者只需向目標(biāo)用戶發(fā)送彩信（MMS），并且不需要再與他們產(chǎn)生任何其他的交互，就可以成功的利用攻擊者的設(shè)備。

在該漏洞被曝出后，許多類似的漏洞也在Stagefright和其它一些Android媒體處理組件中被挖掘出來(lái)。為此Google更改了內(nèi)置消息傳遞應(yīng)用的默認(rèn)行為，不再自動(dòng)進(jìn)行彩信的檢索，因此對(duì)該漏洞的利用也幾乎成為了不可能。

Zimperium的創(chuàng)始人兼董事長(zhǎng)Zim Avraham在一封電子郵件中說(shuō)道：“遠(yuǎn)程的，無(wú)交互的bug是非常罕見的，需要很多的創(chuàng)造力和復(fù)雜性。這些東西的價(jià)值也足以超過(guò)20萬(wàn)美金的獎(jiǎng)金。

一家名為Zerodium的漏洞收購(gòu)公司，也為遠(yuǎn)程Android越獄提供了20萬(wàn)美元的漏洞獎(jiǎng)金，但他們并沒(méi)有對(duì)用戶的交互做限制。

讓我們來(lái)思考一個(gè)問(wèn)題，既然在黑市可以通過(guò)一些簡(jiǎn)單的攻擊，就能獲取相同甚至更多的金額，那么為什么還要設(shè)立如此高難度的攻擊項(xiàng)目呢？

Google的Project Zero團(tuán)隊(duì)成員Natalie Silvanovich在博客中表示：“總的來(lái)說(shuō)，這次比賽是一次學(xué)習(xí)經(jīng)歷，我們希望把我們學(xué)到的東西，放到Google的獎(jiǎng)勵(lì)計(jì)劃和未來(lái)的比賽當(dāng)中。”最后，該團(tuán)隊(duì)也希望安全研究人員能積極的提出他們的意見和建議。

雖然這次Google的入侵獎(jiǎng)金計(jì)劃失敗了，但是不可否認(rèn)Google多年以來(lái)所執(zhí)行的許多成功的安全獎(jiǎng)勵(lì)計(jì)劃，包括軟件和在線服務(wù)。

作為廠商來(lái)講，是不可能像那些網(wǎng)絡(luò)罪犯或漏洞經(jīng)紀(jì)人那樣，以高價(jià)來(lái)收購(gòu)那些安全漏洞的。而廠商的漏洞懸賞項(xiàng)目，也僅針對(duì)那些有責(zé)任心的安全研究人員所設(shè)立。

*參考來(lái)源 ：networkworld，F(xiàn)B小編 secist 編譯，轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf（FreeBuf.COM）