这些严苛的规定明显限制了研究人员的攻击手法——既然不能让受害者点击链接,诱导其下载APP,那么就只能是在手机内置的短信应用,或者在手机的固件、电话应用、蜂窝网络等底层软件来下文章了。
这无异于绑手绑脚了,最关键的是钱还给的少。
连安全公司Zimperium的创始人兼董事长Zuk Avraham也忍不住在邮件中吐槽 (雷锋网注:Zimperium就是传奇黑客凯文·米特尼克加盟的去年那家安全公司):
远程操作,不需要交互就能实现的BUG是非常少见的,需要开相当大的脑洞并结合高超的技艺才有可能实现,这个价值已经远远超过了20万美元了。
说来也巧,一家叫Zerodium的“安全漏洞军火商”公司也开出了20万美元的价格收购Android系统的漏洞,但是他们并没有限制攻击者使用链接、钓鱼等需要用户交互的手法。一般情况下,Zerodium收了这些漏洞之后会出售给执法机构和情报机构等客户。
对于技术人员来说,既然价格都是20万美元,为什么要在同样价格的情况下,去选一个难度更高的破解任务呢?还更别说在地下黑市,这些漏洞可能卖到更高的价格。
技术漏洞价值如何平衡?
尽管谷歌这一次的漏洞悬赏由于难度设置得太高,导致项目有些小失败。但是谷歌在技术漏洞悬赏方面,的确位于世界公司和机构的先列,此前他们也做过很多非常成功的安全奖励计划。
在技术漏洞的价值上,也一直存在一些争议。此前,雷锋网发布了一篇名为《什么样的漏洞买得起北京二环一套房?》的文章。当时就有一位国内的网络安全专家直言不讳地告诉雷锋网编辑:
技术漏洞的价值一直被严重低估,只有靠PR(公关活动)找回。国际巨型公司举牌价格有的比黑市低很多,好几倍,这就像个笑话。
