前情回顾·零日漏洞市场
安全内参8月22日消息,一家总部位于阿联酋的初创公司开出高达2000万美元(约合人民币1.43亿元)的巨额赏金,希望收购能让政府仅凭一条短信就攻破任何智能手机的黑客工具。
这家公司名为先进安全解决方案公司(Advanced Security Solutions),于本月成立。它目前悬赏的金额是零日漏洞市场上最高报价之一,至少在公开价格中位居前列。
零日漏洞,是指在被发现时,受影响的软件开发商尚未知晓的缺陷。这类工具对黑客来说极具价值,尤其是为执法部门和情报机构工作的黑客。
该公司漏洞收购清单全面且报价高昂
该公司不仅针对适用于任何移动操作系统的工具悬赏2000万美元,还为各种软件漏洞列出了收购价目:
1500万美元收购安卓或iPhone零日漏洞;
1000万美元收购Windows漏洞;
500万美元收购Chrome漏洞;
100万美元收购苹果Safari和微软Edge浏览器漏洞。
目前尚不清楚这家公司的资金和客户背景。
该公司官网写道:“我们赋能政府机构、情报部门和执法部门,使其能够在数字战场上精准行动。我们与全球25个以上的政府和情报机构保持持续合作。客户不断回头寻求新服务,这体现了我们在反恐、毒品管控等高风险行动中所提供的信任与战略价值。”
官网还称,尽管公司成立不久,但“团队成员均来自精英情报单位和私人军事承包商,拥有超过20年的实战经验”。
先进安全解决方案公司未回应媒体提出的一系列问题,包括资金来源、所有权结构、运营方身份、客户是谁,以及是否对销售对象设定任何伦理或法律上的自我约束。
一位长期从事零日漏洞研究的安全专家告诉外媒TechCrunch,先进安全解决方案公司开出的价格与当前市场基本一致。
该研究员在匿名接受采访时表示:“通常这些公开的价格差不多。”他补充说,2000万美元的悬赏“2000万美元其实不算高,只要你够狠、什么人都敢卖,能拿到更高。”
不过,这位研究员也警告称,自己不会与一家刻意隐瞒背景的公司合作。他说:“我认为你不应该把漏洞卖给那些不公开身份的人。”
零日漏洞市场正在快速扩张
过去10年里,零日漏洞市场快速扩张,不论是参与公司数量还是价格水平,都大幅上升。
2015年,Zerodium是首批公开价目表的公司之一。它与先进安全解决方案公司类似,从研究人员处收购零日漏洞,再转售给政府。当时,由资深漏洞经纪人Chaouki Bekrar创立的Zerodium,为iPhone黑客工具开出了最高100万美元的价格。3年后,Crowdfense出现,并将同类漏洞报价提升至300万美元。
图:该公司针对操作系统零日漏洞的悬赏截图
近年来,零日漏洞的价格迅速飙升,一方面是因为需求增加,另一方面则源于大型科技公司不断加强安全防护,使攻破现代设备和软件的难度越来越大。
去年,Crowdfense发布新价目表:最高700万美元收购iPhone零日漏洞,500万美元收购安卓漏洞。客户还可以购买针对特定应用的漏洞,尤其是消息类应用,例如WhatsApp(最高800万美元)和Telegram(最高400万美元)。
先进安全解决方案公司则宣称,对Telegram、Signal和WhatsApp的零日漏洞开出200万美元悬赏。
在零日漏洞市场中,俄罗斯公司Operation Zero显得格外突出。它同样开出最高2000万美元的价格收购与先进安全解决方案公司寻求的类似漏洞。Operation Zero的特殊之处在于,它声称只与俄罗斯政府合作。但对许多美国和欧洲研究人员来说,将黑客工具出售给俄罗斯是违法行为,这意味着Operation Zero在寻找目标漏洞时可能面临更大阻力。
参考资料:https://techcrunch.com/2025/08/20/new-zero-day-startup-offers-20-million-for-tools-that-can-hack-any-smartphone/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
