Zerodium漏洞平臺的交易顯示，市場已經(jīng)準(zhǔn)備好迎接價值100萬美元甚至更高的零日漏洞利用代碼。

法國公司Vupen Security被稱為網(wǎng)絡(luò)軍火商，它的主要業(yè)務(wù)是挖掘漏洞獲取賞金，而不是進行修復(fù)漏洞。漏洞經(jīng)銷平臺Zerodium則脫胎于Vupen。本月初，Zerodium宣布，它同意為某蘋果iOS漏洞利用代碼支付100萬美金，該漏洞可以完全入侵該移動操作系統(tǒng)。然而漏洞的平均價格仍在數(shù)千至數(shù)萬美元水平上，過去只有極少數(shù)交易的價格超過10萬美金。100萬美元的賞金似乎對于該行業(yè)是一個突破性的量級增長。當(dāng)然，在灰色的地下交易市場中，這樣的價格也并非沒有出現(xiàn)過，而為其支付巨額購買款的很可能是政府力量。高價格是由供求關(guān)系和時機需要而決定的。

雖然沒有實際證據(jù)表明Zerodium真的付出了100萬美元，但考慮到存在某些特定類型的買家，這個金額并不是完全不合情理。而且近年來，尋找和發(fā)現(xiàn)漏洞的難度逐漸加大也可能會導(dǎo)致賞金額度的攀升。

收購了原惠普公司漏洞研究團隊Zero-Day Initiative的趨勢公司全球威脅公關(guān)經(jīng)理克里斯托弗·巴德（Christopher Budd）稱：“由于安全性的提升，我們在過去幾年中看到的產(chǎn)品已經(jīng)很難找到漏洞。這影響了供求關(guān)系，也提升了研究人員的需求。”

事實上，主流軟件中出現(xiàn)并被修復(fù)的漏洞反而增加了漏洞的數(shù)量。比如，在2012年，谷歌提升了對Chrome瀏覽器漏洞的賞金額度，表明發(fā)現(xiàn)新安全漏洞的難度正在加大。“最終，隨著軟件變得更加強大，開發(fā)者對安全的了解進一步深入，黑客如果想要得到穩(wěn)定的控制權(quán)限，必須同時使用多個漏洞和多項技術(shù)。這將需要更高的技能和時間成本，也將提升尋找漏洞能力的價值。”

也有反對此觀點的聲音。有人認(rèn)為，盡管在表面上100萬美元的賞金表明市場價格正在升高。針對iOS平臺這個特定環(huán)境而言，高價格可能更多地來源于需求，而不是供給。很有可能的是，買家非常需要入侵iOS設(shè)備，并且樂意買賬。

誰會樂意為移動端零日漏洞付出100萬美金呢？潛在的買家名單非常短。一些安全公司可能樂意付給研究人員這么多錢，購買漏洞的信息，以加強自家安全產(chǎn)品的防御措施。通常而言，對這類漏洞感興趣的都是安全防御公司，它們尋找稀有，但是非常高優(yōu)先級的漏洞。雖然可能沒有哪一家公司樂意付出100萬美金，一項支持?jǐn)?shù)家安全企業(yè)的服務(wù)可能會為高優(yōu)先級漏洞支付可觀的價格。

盡管對如此大額的賞金而言，最可能的解釋是，一個或多個情報機構(gòu)需要破解特定手機的技術(shù)，并且愿意付錢。政府是最有可能的買家。

每次蘋果發(fā)布新的操作系統(tǒng)版本，比如iOS 9，就會同時修復(fù)舊的漏洞，這導(dǎo)致情報機構(gòu)爭相尋找新的漏洞。由于iOS 9的更新率在發(fā)布僅三天后就達到了五成，如果無法很快找到新的漏洞，情報機構(gòu)就真的要「摸黑」了。”

對于所有該漏洞的潛在買家而言，「摸黑」的風(fēng)險至關(guān)重要。如果軟件存在漏洞，只要開發(fā)人員發(fā)布修復(fù)，漏洞買家手中的信息就等于無效化了。

比如，這個iOS漏洞的買家可能是蘋果公司，他們支付100萬美元，以在黑客利用漏洞之前消除危險。然而，只有微軟、臉書、谷歌這三家公司曾為了自家產(chǎn)品的漏洞付錢，沒有一家曾經(jīng)付過12萬美金以上的價格。

這則100萬美元買漏洞的消息引起了安全圈的震動。一些批評者希望蘋果能夠幫忙修復(fù)漏洞，另一些人則指出，無論是漏洞的存在還是交易本身都無法確證，他們認(rèn)為這次事件屬于公關(guān)噱頭。還有一些人擔(dān)心此漏洞會讓政府更加容易地監(jiān)控公民。

然而，不論這次的買家究竟是誰，漏洞賞金額度正在提升是不爭的事實。

隨著信息技術(shù)滲透進日常生活的方方面面，利用漏洞滲透進核心軟件將成為秘密監(jiān)控的最好方式。因此防御安全機構(gòu)和情報機構(gòu)都能夠從零日漏洞中發(fā)現(xiàn)巨大的價值。

IT安全企業(yè)必須跟上競業(yè)同行的腳步，如果公司不購買最新的漏洞信息，就可能發(fā)現(xiàn)自己已經(jīng)落后于競爭對手。類似的因素也驅(qū)使國家購買漏洞。美國政府不再購買零日漏洞可能嗎？伊朗呢？朝鮮呢？這個市場主要由國家和政府推動，只要一方購買，其他國家也必須跟進，尤如軍備競賽。