让政府黑客能够侵入iphone和Android手机的工具,Chrome和Safari浏览器等流行软件,以及WhatsApp和iMessage等聊天应用,现在价值数百万美元——随着这些产品越来越难以被黑客入侵,它们的价格在过去几年里翻了好几倍。
周一,初创公司Crowdfense公布了这些黑客工具的最新价目表,这些工具通常被称为“零日攻击”,因为它们依赖于软件中未修补的漏洞,而这些漏洞是软件制造商所不知道的。Crowdfense及其竞争对手Zerodium等公司声称获得这些零日漏洞的目的是将其转售给其他组织,通常是政府机构或政府承包商,这些组织声称他们需要黑客工具来跟踪或监视罪犯。
Crowdfense目前为破解iphone提供500万至700万美元,为破解Android手机提供500万美元,为破解Chrome和Safari提供300万美元和350万美元,为破解WhatsApp和iMessage提供300万至500万美元。
在2019年发布的上一份价目表中,Crowdfense为安卓和iOS零日漏洞开出的最高赔付金额为300万美元。
价格上涨之际,苹果、谷歌和微软等公司正在加大对其设备和应用程序的攻击难度,这意味着它们的用户得到了更好的保护。
趋势科技ZDI的威胁意识主管达斯汀?蔡尔兹(Dustin Childs)表示:“无论我们使用什么软件,无论我们使用什么设备,攻击都应该一年比一年困难。”与CrowdFense和Zerodium不同,ZDI付钱给研究人员获取零日漏洞,然后将它们报告给受影响的公司,目的是修复漏洞。
“随着像谷歌这样的威胁情报团队发现了更多的零日漏洞,平台保护也在不断改进,攻击者需要的时间和精力也在增加,导致他们发现漏洞的成本也在增加,”跟踪黑客和零日漏洞使用情况的谷歌威胁分析小组(threat Analysis Group)负责人谢恩·亨特利(Shane Huntley)说。
在上个月的一份报告中,谷歌表示,它发现黑客在2023年使用了97个零日漏洞。据该公司称,通常与零日中间人合作的间谍软件供应商对针对谷歌产品和安卓系统的零日攻击负有75%的责任。
零日漏洞行业内外的人士一致认为,利用漏洞的工作正变得越来越困难。
了解零日漏洞市场的安全分析师戴维·马努切赫里(David Manouchehri)说,“像谷歌Pixel和iPhone这样的硬目标,每年都变得越来越难以攻破。”我预计,随着时间的推移,成本将继续大幅增加。”
Crowdfense的研究主管保罗·斯塔格诺(Paolo Stagno)告诉TechCrunch:“供应商正在实施的缓解措施正在发挥作用,这导致整个交易变得更加复杂,更加耗时,因此很明显,这反映在了价格上。”
有限公司接触我们
你知道更多零日漏洞经纪人吗?或者关于间谍软件提供商?在非工作设备上,您可以通过Signal +1 917 257 1382,或通过电报,Keybase和Wire @lorenzofb或电子邮件安全地联系Lorenzo Franceschi-Bicchierai。你也可以通过SecureDrop联系TechCrunch。
斯塔格诺解释说,在2015年或2016年,只有一个研究人员可以找到一个或多个零日漏洞,并将其开发成针对iphone或android的成熟漏洞。现在,他说,“这件事几乎是不可能的”,因为它需要一个由几个研究人员组成的团队,这也会导致价格上涨。
Crowdfense目前开出的价格是迄今为止在俄罗斯以外的最高公开价格。去年,俄罗斯一家名为“零行动”(Operation Zero)的公司宣布,它愿意支付高达2000万美元的价格,购买入侵iphone和Android设备的工具。然而,由于乌克兰的战争和随后的制裁,俄罗斯的价格可能会被抬高,这些制裁可能会阻碍或直接阻止人们与俄罗斯公司打交道。
在公众视野之外,政府和公司支付的价格可能更高。
Manouchehri表示:“Crowdfense为研究人员提供的个人Chrome(远程代码执行)和(沙盒逃脱)漏洞的价格低于我在零日漏洞行业看到的市场价格。”Manouchehri曾在Linchpin实验室工作,这是一家专注于开发和销售零日漏洞的初创公司。2018年,Linchpin实验室被美国国防承包商L3 Technologies(现称为L3Harris)收购。
意大利创业公司Zeronomicon的创始人阿方索?德?格雷戈里奥(Alfonso de Gregorio)表示同意,他告诉TechCrunch,零日漏洞的价格“肯定”会更高。
零日漏洞已被用于法院批准的执法行动中。据《华盛顿邮报》报道,2016年,联邦调查局利用一家名为Azimuth的初创公司提供的零日漏洞,破解了圣贝纳迪诺枪击案中一名枪手的iPhone,该枪手杀害了14人。2020年,Motherboard透露,联邦调查局在Facebook和一家未具名第三方公司的帮助下,利用零日漏洞追踪了一名男子,该男子后来因在网上骚扰和勒索年轻女孩而被定罪。
在埃塞俄比亚、摩洛哥、沙特阿拉伯和阿拉伯联合酋长国等人权记录不佳的国家,也有几起零日漏洞和间谍软件被用来攻击人权异见人士和记者的案例。在希腊、墨西哥、波兰和西班牙等民主国家也发生了类似的虐待案件。(Crowdfense、Zerodium和Zeronomicon都没有被指控涉及类似案件。)
零日漏洞经纪人,以及像NSO Group和Hacking Team这样的间谍软件公司,经常因为向令人讨厌的政府出售产品而受到批评。作为回应,其中一些公司现在承诺遵守出口管制,以限制其客户可能滥用的行为。
Stagno表示,Crowdfense遵守美国实施的禁运和制裁,即使该公司位于阿拉伯联合酋长国。例如,斯塔格诺表示,该公司不会向阿富汗、白俄罗斯、古巴、伊朗、伊拉克、朝鲜、俄罗斯、南苏丹、苏丹和叙利亚出售石油,这些国家都在美国的制裁名单上。
Stagno说:“美国做的每件事,我们都很清楚。”他补充说,如果现有客户被列入美国的制裁名单,Crowdfense将放弃该客户。“所有被美国直接制裁的公司和政府都被排除在外。”
至少有一家公司,间谍软件联盟Intellexa,在Crowdfense的特别黑名单上。
斯塔格诺说:“我不能告诉你它是否一直是我们的客户,也不能告诉你它是否不再是我们的客户。”“然而,就我目前所知,Intellexa不可能成为我们的客户。”
今年3月,美国政府宣布对Intellexa的创始人塔尔·迪利安(Tal Dilian)及其一名商业伙伴实施制裁,这是美国政府首次对参与间谍软件行业的个人实施制裁。Intellexa及其合作公司Cytrox也受到了美国的制裁,这使得这两家公司以及经营该公司的人更难继续开展业务。
据TechCrunch报道,这些制裁引起了间谍软件行业的担忧。
据报道,Intellexa的间谍软件曾被用来攻击美国国会议员迈克尔·麦考尔、美国参议员约翰·胡芬和欧洲议会议长罗伯塔·梅索拉等人。
Zeronomicon的创始人德格雷戈里奥拒绝透露公司的销售对象。该公司在其网站上公布了一项商业道德准则,其中包括审查客户,以避免“与滥用人权的实体”做生意,并遵守出口管制。
