近日,谷歌、微软、苹果等巨头公布了2017年漏洞致谢榜,根据国外漏洞军火商 ZERODIUM 发布的2017年漏洞“牌价”表来看,白帽黑客2017年给互联网三巨头报告的漏洞,加起来的价值最低也有2000万美元!要知道,一个Chrome漏洞价格最高在15万美元左右,iOS漏洞的价格最高竟然可达150万美元。
但在白帽黑客眼里,把漏洞提交厂商修复来保护用户安全,远比卖给网络军火商进行恶意攻击更有价值,尽管这些漏洞大多只能获得厂商免费的感谢。谷歌和微软也为部分漏洞设立了奖金鼓励,但价格相比黑市还有很大差距。以360AlphaTeam报告的“穿云箭”组合漏洞来看,谷歌开出其漏洞奖励史上最高奖金11.25万美元,这也远低于黑市高达50万美元的收购价。
图:漏洞军火商 ZERODIUM 发布的2017年漏洞“牌价”
一张价值千万的谷歌漏洞致谢榜
谷歌作为最早以奖金方式鼓励漏洞挖掘的厂商,其漏洞交易价格也在逐年增高,根据漏洞军火商 ZERODIUM 的价格表显示,Chrome漏洞价格达到了5万美元以上,最高可达15万美元,安卓系统漏洞价格则在1.5万美元至10万美元之间,结合谷歌公布的致谢榜,就可以估算出2017年度前十名致谢厂商提交的漏洞总价值就不低于1000万美元!
图:2017年谷歌漏洞致谢榜
在2017年的谷歌致谢榜单中,中国安全厂商360的白帽军团凭借227个安卓漏洞、6个Chrome漏洞,共计233个漏洞总数的成绩高居榜首,远超趋势、微软和谷歌自家的白帽黑客团队,这也是自15年以来,360的白帽军团第三次蝉联冠军。
若以谷歌漏洞最低交易价格来看,360团队所发现的233个漏洞价值不低于400万美元,然而面对如此昂贵的交易价格,白帽黑客们仍然不为所动,一切以用户安全为标准,堪称是君子爱财取之以道的典范了。
兼具“白菜价”与“钻石价”的微软漏洞
在黑市上,微软的漏洞交易价格从1万美元到30万美元不等,其身价不逊于谷歌漏洞价格,除去价值更高的赏金项目,微软致谢榜单价值也在500万美元之上。其中谷歌、趋势和360的白帽黑客跻身前三强,360更是一举拿下4个微软赏金项目,将价值超百万美元的漏洞提交给微软。
图:2017年微软漏洞致谢榜
来自中国的另一队白帽黑客腾讯获得38次致谢,排名第五,致谢榜前五名中,有两个白帽黑客队伍来自中国,又一次刷新了中国黑客在致谢榜中的好成绩,不仅向世界充分展现了中国白帽黑客的攻防实力,更证明了中国白帽黑客们的“撒金能力”,提交漏洞就等于扔钱的时代,说这些白帽黑客们“撒金”挥霍毫不夸张。
全球身价第一的漏洞贵族——苹果漏洞
在PC端及移动端的漏洞交易价格表中,iOS漏洞以150万美元的巨额身价成为最贵的漏洞,这让苹果漏洞致谢榜也身价倍增。在2017年苹果致谢榜单上,谷歌以125个漏洞数目摘得桂冠,与苹果日常上演“相爱相杀”。
图:2017年苹果漏洞致谢榜
在苹果致谢榜中,腾讯、360、百度和长亭等中国白帽黑客团队组成“中国撒金黑客团”,这四队中国白帽黑客发现了霸占了苹果致谢榜近30%的漏洞。
单从漏洞黑市交易价格看各家致谢榜,其价值何止万金,但是在这些白帽黑客的眼中,始终将荣誉与安全放在首位,这是无法用金钱衡量的。而中国白帽黑客们的优异成绩,不仅是自身漏洞挖掘实力的证明,更代表着中国安全实力的不断提升。