文｜三易生活

手机里的App为什么总是要更新？这是一个在网络上引发了大量网友共鸣的问题，除了添加新功能以满足用户的更多需要之外，修复漏洞无疑是更新日志上最常出现的词汇。毕竟世界上不存在没有BUG的软件，以至于互联网厂商软件团队的一项核心工作就是修BUG。然而人力终有穷，再强大的互联网巨头也做不到凭一己之力去发现自己软件的所有漏洞。

如此一来，许多厂商就选择了群策群力，推出“漏洞赏金计划”来调动外界的积极性，例如苹果、谷歌、微软、Meta等大厂的赏金计划更是动辄以百万美元为单位。苹果安全工程和架构负责人Ivan Krstic是这样形容漏洞赏金计划的，“把绝大部分致命漏洞找出来是很难的，为了奖励研究者所花费的时间、精力，以及富有创造力的发现，苹果才设置这么（100万美元）庞大的奖金池”。

可白帽黑客、安全研究人员对于这些大厂的漏洞赏金计划却并没有趋之若鹜，以至于谷歌在最近就宣布，在8月31日之后，安全研究人员将无法再通过GPSPR计划向其提交漏洞。GPSPR即Google Play安全奖励项目，是谷歌在2019年推出的一项针对Google Play商店的漏洞悬赏计划，当研究人员发现漏洞并提交给谷歌后，谷歌将会按照漏洞危害程度提供不同的现金奖励。

对于GPSP被关闭的原因，谷歌的说法是研究人员向谷歌提交的漏洞报告逐渐减少。那么问题就来了，Android生态的安全性真的越来越高，以至于真正意义上的漏洞变得屈指可数了？当然不是，毕竟谷歌自己发布的报告就否认了这一说法。

根据谷歌方面在3月中旬公布的信息显示，其在2023年向全球632名安全专家发放了超过1000万美元的赏金，以酬谢他们发现、并负责任地报告谷歌旗下产品和服务中的安全漏洞。据悉在这1000万美元里，有关Android系统和应用的漏洞赏金就高达340万美元，也是其中最大的一份。并且谷歌还宣布将Android关键漏洞的最高奖励金额提高到15000美元，从而推动了更多的安全研究人员报告他们的发现。

如果Android真的变得无懈可击，谷歌又何必给全世界的安全专家发钱，并进一步提高金额呢？比如就在数天前，谷歌发布了本月的Android安全更新，修补了46个不同的漏洞，其中还包括了一个已经遭到利用的“零日漏洞”。对此，一个更有可能的结论，是被提交给谷歌的Android漏洞变少，并不是Android本身变得更安全了，而是研究人员不再倾向于将漏洞交给谷歌。

事实上，不仅仅是谷歌、苹果等大厂在收购自家产品的漏洞，市面上也有一大批第三方公司在进行类似的操作。早在2019年，专门收购和出售零日漏洞的公司Zerodium就曾宣布，为一个Android漏洞支付了高达250万美元的费用。近期也有阿联酋的Crowdfense公司宣布，斥资3000万美元收购各种手机、软件等主流产品的漏洞。

上述这些漏洞灰色产业链，无疑是一个让各大厂商感到头疼的东西。由于Android在移动操作系统市场的领先地位，以及智能手机早已渗透到大量用户日常生活中的方方面面，特别是银行、支付工具的数字化让用户的资产与手机产生了强关联，所以也导致对Android系统的攻击已经成为了黑客获取超额收益的主要场景。

通过漏洞攻克Android系统的防护对于黑客而言，就是用钥匙打开了金库的保险门。那么问题也随之而来，为什么安全漏洞的发现者往往更愿意将漏洞卖给类似Crowdfense这样的中间商，或是干脆在黑市上直接卖给黑灰产团队呢？原因当然是因为他们发现，从这些组织获得的回报要远远超过将漏洞提交给相关所获得的奖励。

相比于见不得光的黑灰产团队或中间商，市值两万亿美元的谷歌显然是无可争议的庞然大物。但反直觉的是，相比于黑灰产，谷歌对于安全漏洞的出价往往更加吝啬。比如谷歌为Android关键漏洞开出的价格是1.5万美元，而中间商却给到了高达250万美元。其实出现这一现象的原因并不复杂，因为不同的组织对于安全漏洞的价值判断方式并不一样。

对于黑灰产团队来说，漏洞的价值取决于借此所获得的财富，即潜在收益。而相关企业眼中，如果漏洞始终未觉，则其对于企业来说则皆如无形、也无损企业资产分毫，所以这就使得漏洞的价值是由测试漏洞的成本来决定。显而易见，以破坏而非建设为目的黑灰产团队，自然会对漏洞的价值开出更高的价码。

同时由于互联网上信息传播的特质，特别是一些高隐私性网络的存在，导致安全研究人员向黑灰产出售漏洞的风险大幅降低。因此从安全研究人员的角度出发，既然已经是在做“挖洞致富”的活，自然就是哪边出价高就卖给哪边了。