AD
图1:Zerodium高价收购各类漏洞而在多家上榜的 赔钱 安全厂商中,以下三家最具备代表性:
360 赔 的最多的赏金猎人
在国内多家安全公司与团队中,360的挖掘漏洞脚印遍布微软、苹果、谷歌、Adobe等。也因此,360为这些国际巨头免费贡献了大量漏洞:其中仅360 Vulcan团队的Yuki Chen,就在一年中为Adobe提供了45个漏洞。此外,360安全团队还为QEMU和VMWare 贡献了9个漏洞。360安全团队找出的漏洞数量之高,由此可见一斑。
根据Zerodium所提供的漏洞价目表,微软IE的远程代码执行漏洞价值达到3万美元,Adobe Flash和VMware的高危漏洞可以卖5万美元,安卓的远程Root漏洞更是价值高达10万美元,苹果越狱的黑市价格为50~100万美元。
据此粗略估算,360在2015年挖掘的漏洞,总价值已接近600万美金,约合3800万人民币。如把这些漏洞都换为保时捷跑车的话,买个五六十辆不成问题。
面对这么多值钱的漏洞,白帽子能够坐守金矿而不动心,坚持把漏洞提交给厂商去修复,这也是对传统黑客精神的最好诠释。
盘古 隐藏在暗处赏金猎人
这两天iOS9.2刚更新,国内的越狱团队盘古已经着手开发iOS9.2的越狱工具。作为国内攻破版本最多的越狱团队,盘古与其他的安全团队略有不同。他们并没有把出售漏洞,但也没有把漏洞提交给厂商,而是用于提升自身的技术,然后开发越狱工具造福网民。
一般来说,想攻破iOS系统并成功越狱,需要用到至少三个系统漏洞。此前Zerodium在11月曾出价100万美金收购iOS系统漏洞,恰好盘古在开发越狱工具时使用了符合悬赏条件的漏洞。但最终盘古抵挡住了100万美金的甜蜜诱惑,没有出售该漏洞,而是推出越狱工具,给苹果用户以不同的使用体验。
虽然盘古有别于传统的安全团队,但是他们也是为用户谋取福利,因此要说赔钱的赏金猎人,盘古也有足够的资格入选。
图1:盘古团队将价值100万美元的漏洞用于开发越狱工具绿盟 赏金猎人的王牌学院
绿盟在2015年直接贡献的漏洞并不算多,只有微软平台的5个,总价值不会超过20W。但是,之所以荣登榜单,是因为大量的漏洞都与其有着间接的关系 多年前,绿盟建立 绿盟科技(300369,股吧)大学 ,为360、BAT等公司培养输送了大批人才。
事实上,常年活跃在微软、苹果、Adobe这些厂商漏洞致谢名单中的安全团队还有很多 三巨头BAT、新锐黑客团队Keen Team、老牌安全厂商启明星辰(002439,股吧) 这些团队都在漏洞挖掘方面,贡献着自己的力量。
