六个月前,谷歌掷出了一个20万美元的漏洞悬赏项目公告,大意是:
谁能在仅知道受害者电话号码和电邮地址的情况下,远程入侵对方的Android设备,20万美元的奖金,少侠拿好请慢走!
几乎无人迎战。(几乎二字几乎可以去掉)
听起来似乎是个好消息,这说明谷歌家的移动操作系统的安全性强?但这似乎不是理由,再安全的系统性也会有人愿意来挑战。真正的理由,其实从这个叫"Zero prize"的漏洞悬赏计划推出时就有人指出来了:
一个不依靠用户交互就能远程搞定设备权限的漏洞来说,20万美元真是少的令人发指!
一个用户在悬赏公告下方留言:“要是谁真的能做到这个,把漏洞卖给其他公司或者机构,早就赚翻了!”
市场不骗人,几个月后谷歌自己也被迫承认了这一点。于是就在上周(当地时间3月30日),他们发布了一篇博文表示:
考虑到比赛规则的难度,奖金数额确实是有点太低了。不过除了奖金太少,还可能和漏洞利用的高复杂性,以及规则太严格有关。
据雷锋网了解,要远程获得一台设备的Root权限或者完全控制这台设备,攻击者可能得需要一连串的漏洞才能实现。要实现远程攻击,攻击者最起码要在手机应用中找到一个远程代码执行漏洞,要完全控制这台设备,又得需要一个权限提升漏洞来逃逸出应用程序的沙箱。
在这种情况下,谷歌还要求参赛者不借助用户交互的情况下完成攻击。也就是说,攻击者不能诱导用户去点击任何恶意链接、访问恶意网站、接受和打开任何文件等等。只需知道对方一个手机号码和电子邮件就直接搞定对方的设备。