上周使得iOS平臺被曝出現(xiàn)安全漏洞的“XCodeGhost”事件鬧得沸沸揚揚，外界甚至覺得蘋果系統(tǒng)的安全信譽其實也不那么牢固。事實上，iOS系統(tǒng)也并非牢不可破，除了XCodeGhost事件，iOS系統(tǒng)還有其他已被黑客攻破的漏洞。

據美國科技新聞網站“連線”報道，本周一，網絡安全行業(yè)里最大的一筆漏洞收購交易曝光了：收購/銷售產品安全漏洞的Zerodium公司近日宣布，該公司設置了超過300萬美元（約合1900萬人民幣）的獎池來懸賞那些在iOS 9系統(tǒng)中找到漏洞的黑客。

Zerodium是一家向政府和企業(yè)銷售安全漏洞套裝和間諜工具的供應商，根據該公司發(fā)布的懸賞榜，黑客在10月31日之前提交的前三個iOS 9 0-Day漏洞能夠獲得每個漏洞最高100萬美元的獎金。

所謂“零日漏洞”（zero-day）又叫零時差攻擊，是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，相關的廠商甚至來不及發(fā)布補丁修補漏洞，防御難度極大。也因為如此，在黑客灰色產業(yè)鏈中，“零日漏洞”的價值遠遠超過常規(guī)的漏洞。

據報道，Zerodium本次征集的iOS 9系統(tǒng)漏洞，是那些可以被用來通過遠程方式攻擊蘋果手機或平板，或是通過網頁應用、移動軟件，甚至是傳統(tǒng)短信等方式對蘋果設備發(fā)動攻擊的漏洞。

該公司宣稱，隨著安全性能的不斷改進，以及修補措施做得越來越到位，蘋果的iOS系統(tǒng)算是目前最為安全的移動操作系統(tǒng)?！暗灰虼苏`以為它就是牢不可破的了，它目前的安全僅僅說明破解iOS的成本和復雜性系數最高?！?/p>

對于黑客而言，每發(fā)現(xiàn)一個漏洞都是心血的結晶。有了這些漏洞在手上，某些知名的越獄團隊會利用漏洞之間的配合，試圖研發(fā)出越獄程序，然后就進入了大家耳熟能詳的三方贊助、和手機助手合作等等盈利模式。然而某些有操守的白帽子，他們會選擇將漏洞提交給漏洞系統(tǒng)的官方開發(fā)漏洞補丁，另外微軟、谷歌等公司也會通過現(xiàn)金的方式，對主動報告漏洞表示感謝。微軟最高曾開出數十萬的價位收購自家的漏洞。

而在相關廠商置之不理的情況下，某些安全公司和專家也會主動向科技媒體進行爆料，提醒相關產品的用戶注意安全防范。但某些公司的做法則不同于常規(guī)，他們不會主動報告漏洞，而是通過轉讓來謀取利益。他們被定性為黑客灰色組織。

據了解，在某些黑客找到有價值的漏洞后，諸多灰色組織就會向其伸出橄欖枝。在不久前被曝光的意大利著名網絡軍火商“Hacking Team”，其內部數據就存在著大量在“漏洞市場”中“買”來的且極其危險的iOS 0Day漏洞。Zerodium的商業(yè)模式與“Hacking Team”類似。

至于Zerodium征集這些蘋果iOS漏洞將用作何處，該公司并未對外宣布。目前尚不清楚該公司的轉讓對象是否包括不良之徒和犯罪組織。不得不提的是，Zerodium的創(chuàng)始人名叫貝克拉（Chaouki Bekrar），除了安全公司Zerodium，他在法國巴黎也開了一家名叫Vupen的公司。這家法國公司專門開發(fā)針對知名軟件的攻擊手段，然后將漏洞和攻擊方式轉讓給全世界的政府情報部門。

外媒分析稱，Zerodium高價征集iOS 9漏洞的行為，實際已相當于構成黑客灰色產業(yè)鏈的中間角色。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。