国外公司公开求购微信零日漏洞：最高开价50万美元

专门针对移动通信应用的零日漏洞收购

街边小店，经常能看到高价回收烟酒的商店，同样在漏洞市场也有这样的公司，通过倒腾漏洞来获取利润。

近日，一家叫 Zerodium 的“安全漏洞军火商”公司开出了最高50万美元的漏洞收购价格，旨在收购目前市场上比较受欢迎的通信应用的漏洞，比如Signal、Telegram、WhatsApp以及微信。

根据分析， Zerodium 收购了了这些漏洞之后会出售给国家执法机构和情报机构、网络犯罪集团甚至被合法集团购买用于打压竞争对手。

对于技术人员来说，一般官方给出的漏洞赏金和黑市比起来都少得可怜。所以Zerodium总是能先于官方得到自己心仪的漏洞。既然价格都是20万美元，为什么要在同样价格的情况下，去选一个难度更高的破解任务呢？还更别说在地下黑市，这些漏洞可能卖到更高的价格。

零日漏洞收购价格怎样决定？

虽然Zerodium的业务比较神秘，但通过该公司的漏洞收购列表，研究人员还是能够一窥整个漏洞买卖行业背后的供应和需求情况。

技术难度

Zerodium目前的移动漏洞图收购列表如下，难度越高，开价也随之升高，可以很明显的看到微信的漏洞寻找难度还是很大的，远程代码执行和特权升级漏洞开价最高50万美元。

其中位于收购列表顶端的两个都是iOS操作系统，零日漏洞的收购价格都超过了100万美元，这也从侧面印证了iPhone的安全性是多么的高，也说明了客户对苹果用户的通信监听是多么的渴求。

攻击规模

除了技术难度外，影响应用程序的零日漏洞价格还取决于其使用的人群规模，因为使用的人群规模越大，漏洞的攻击范围就越大，利用价值就越高。

就像Zerodium创始人Chaouki Bekrar指出的，能出这么高价格的买主，通常都是一些政府机构。

目前Signal、Telegram、WhatsApp以及微信等通信应用程序已被世界各地的数十亿人使用，其中光微信一家就有将近9亿的用户。

零日漏洞收购市场分析

研究人员说，随着资本市场不断地涌入该市场，对漏洞的需求也是花样百出，比如当下，针对按需目标的零日漏洞的价格正在大幅上涨。在2016年，零日漏洞发现的数量呈现了巨大的下降，但需求却在不断上升，这就导致了当年收购价格的大涨。

回顾2015年对Bekrar的采访记录，我们发现Zerodium当时每月支付大约60万美元来收购零日漏洞。 不过根据本周三对Bekrar的最新采访，我们发现现在的已经达到每年数百万美元了。

零日漏洞收购市场的管理

一方面，挑战高难度的技术漏洞可以让技术人员扬名立万，炫耀自己漏洞挖掘技术，但另一方面，低估漏洞价值也让他们感觉不爽，毕竟有些破解方法需要技术人员花上毕生所学，有时还需要一些运气，付出巨大的努力之后才能找到。

市场不骗人，许多厂商打着漏洞悬赏和黑客大赛的幌子来发现自己的漏洞，但其给的价格有的比黑市低好几倍，怎能不叫人心寒。

所以如何既照顾到技术人员的付出，又不让漏洞流行于黑市，确实需要引起我们的共同思考。