由于安卓变得安全，谷歌停止了一项漏洞赏金计划？

为什么手机上的App总是要更新？

这是一个在互联网上引起大量网民共鸣的问题。修复漏洞无疑是更新日志中最常见的词汇，除了添加新功能以满足更多用户的需求。毕竟世界上没有没有bug的软件，所以互联网厂商软件团队的核心工作之一就是修复bug。

但是，人力最终还是会穷，再强大的因特网大佬也不能靠自己的力量去发现自己软件的所有漏洞。

这样一来，很多厂商就选择了一起努力，推出“漏洞赏金计划”来调动外部主动性。比如苹果、谷歌、微软、Meta等大厂商的赏金计划往往以百万美元为基准。

Ivanan苹果安全工程和架构负责人 Krstic是这样描述漏洞赏金计划的。“很难找到大多数致命的漏洞。为了奖励研究人员花费的时间、精力和创造性的发现，苹果设置了如此巨大的奖金池(100万美元)。”。

然而，白帽黑客和安全研究人员并没有渴望这些大工厂的漏洞赏金计划，以至于谷歌最近宣布，安全研究人员将无法在8月31日后通过GPSPR计划提交漏洞。

01

GPSPR就是Google Play安全奖励项目，是2019年谷歌推出的一项Google项目。 当研究人员发现漏洞并提交给谷歌时，谷歌将根据漏洞的危害程度提供不同的现金奖励，这是Play商店的漏洞奖励计划。

关于GPSP关闭的原因，谷歌表示，研究人员向谷歌提交的漏洞报告越来越少。那么问题来了，安卓生态的安全性真的越来越高，以至于真正意义上的漏洞变得很少了？当然不是。毕竟谷歌自己的报告否定了这个说法。

根据谷歌3月中旬发布的信息，2023年向全球632名安全专家发放了超过1000万美元的奖金，感谢他们发现并负责任地报告谷歌产品和服务中的安全漏洞。

据报道，在这1000万美元中，相关Android系统和应用程序的漏洞赏金高达340万美元，也是其中最大的一项。此外，谷歌还宣布将Android关键漏洞的最高奖励金额提高到15000美元，从而促进了更多安全研究人员对其发现的报告。

02

假如Android的确变得无可挑剔，谷歌为什么要把钱寄给全世界的安全专家，并进一步增加额度？

比如就在几天前，谷歌发布了本月的安卓安全更新，修复了46个不同的漏洞，包括一个已经被利用的“零日漏洞”。对此，更有可能的观点是，向谷歌提交的安卓漏洞越来越少，而不是安卓本身变得更安全，而是研究人员不再专注于向谷歌提供漏洞。

事实上，不仅仅是谷歌、苹果等大公司在收购自己的产品上存在漏洞，市场上也有大量的第三方公司在进行类似的操作。早在2019年，Zerodium，一家专门收购和销售零日漏洞的公司，就宣布为一个安卓漏洞支付了高达250万美元。近日，阿联酋Crowdfense公司宣布，收购各种主要产品的漏洞，如手机、软件等，耗资3000万美元。

这些漏洞的灰色产业链无疑是各大厂商头疼的问题。由于安卓在移动操作系统市场的领先水平和智能手机已经渗透到大量用户日常生活的方方面面，尤其是银行和支付工具的数字化使得用户的资产与手机有了很强的联系，因此对安卓系统的攻击已经成为黑客获得超额收入的主要场景。

03

对于黑客来说，通过漏洞攻破安卓系统的保护就是用钥匙打开金库的保险门。然后问题就来了。为什么发现安全漏洞的人通常更愿意把漏洞卖给像Crowdfense这样的中间商，或者干脆直接在黑市上卖给黑灰产品团队？当然，原因是他们发现，从这些组织中获得的收入远远超过向相关组织提交漏洞的奖励。

与黑灰产团队或中间商相比，市值2万亿美元的谷歌显然是无可争议的庞然大物。但是反直觉的是，与黑灰产品相比，谷歌对安全漏洞的出价通常更为吝啬。比如谷歌给Android一个关键漏洞的价格是15,000美元，而中间商给了250万美元。事实上，造成这种现象的原因并不复杂，因为不同的组织对安全漏洞的价值判断方法不同。

对于黑灰色生产团队来说，漏洞的价值取决于他们获得的财富，也就是潜在的利润。在相关企业眼里，如果漏洞从来没有意识到，对于企业来说就像是看不见的，对公司的资产没有损害。因此，漏洞的价值是由检测漏洞的成本决定的。不言而喻，黑灰色生产团队的目的是破坏而不是建设，自然会给漏洞的价值更高的价格。

而且由于互联网上信息传递的特点，尤其是一些高隐私网络的出现，安全研究人员向黑灰产品销售漏洞的风险大大降低。因此，从安全研究人员的角度来看，既然他们都在做“挖洞致富”的工作，当然也就是高价卖给哪一方。

本文来自微信微信官方账号“三易生活”（ID：IT-作者：三易菌，36氪经授权发布，3eLife)。

本文仅代表作者观点，版权归原创者所有，如需转载请在文中注明来源及作者名字。

免责声明：本文系转载编辑文章，仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布，请及时与我们联系进行审核处理或删除，您可以发送材料至邮箱：service@tojoy.com