零日漏洞：暴利且危險

零日漏洞能值多少錢？以微軟Office 365的Follina漏洞為例，該漏洞的發現者如果將技術細節賣給Zerodium（一家專注零日交易的公司），而不是公布在網上的話，至少可以落袋25萬美元。

Follina是一種遠程代碼執行漏洞，攻擊者可以通過引誘受害者點擊惡意鏈接，感染受害者的系統。還有一些更為罕見、更危險的漏洞，能夠在受害者無意識甚至無操作的情況下中招的漏洞，價格會更高。Zerodium曾表示，可以支付高達數百萬美元。

事實上，零日交易正在蓬勃發展，網絡犯罪分子利用這些以前未知的漏洞來非法獲得暴利，企業和政府則希望利用這些漏洞獲得商業或政治上的優勢。

根據谷歌Project Zero團隊的研究，去年發現了將近60個新的零日。這是自2014年該團隊成立以來最多產的一年。2022年，到目前為止已發現了21個。

從上圖可以看出，2021年是零日的歷史最高點。

雖然零日漏洞屬于“新”被發現的漏洞，但其中的許多漏洞卻與以前的遺留問題有關。Project Zero表示，它發現的絕大多數零日漏洞“與之前和公眾已知的漏洞類似。只有兩個零日漏洞為新的發現：一個是利用一系列的技術復雜性，另一個則利用了新的沙箱逃離技術。”

2022年也是如此，在目前發現的零日里至少有9個是以前修補過的漏洞的變體。

上圖是2022年發現的各家科技巨頭的零日漏洞，谷歌的產品目前零日最多。

誰在交易零日漏洞？

蘇黎世聯邦理工大學安全研究中心的研究員馬克斯·斯密茨博士表示，零日市場已經存在多年，但自2000年代初以來發生了重大改變。之前很少有安全研究人員談論如何將漏洞賣給出價最高的人，只有某些個人將漏洞出售給民族國家或者是私營企業。

現在，隨著Zerodium等經紀人的出現，漏洞交易變得非常商業化。Zerodium愿意為研究人員的發現支付報酬，并將其出售給私營機構或國家政府的客戶，而且后者是零日漏洞的主要買家，尤其是擁有巨額預算的美國政府和英國政府。隨著更多國家建立網絡部隊，這些國家都會對網絡攻擊武器感興趣，而網絡攻擊武器的核心在于零日漏洞。

發現零日漏洞的研究人員可以將其報告給受影響的公司，其中許多公司通過所謂的“漏洞獎勵”計劃來酬勞研究人員，但往往酬金支付的流程很慢。許多握有零日漏洞的人寧愿不通過官方渠道，除了能夠收到高額的回報以外，還有私人信息保密等原因。這就是為什么需要Zerodiu此類的漏洞交易機構。

零日市場的風險

然而，盡管Zerodium在其網站上列出了所謂的官方價格，但實際上漏洞挖掘的研究人員到底能拿到多少報酬還是個未知數。意大利間諜軟件公司Hacking Team在2015年的數據泄露事件就是一個證明，當時該公司不僅很難買到零日，而且其制造的入侵工具也很難出售。Hacking Team的往來郵件顯示，向研究人員支付的款項流程很容易出問題。例如，在其他地方發現了相同的漏洞利用，支付流程就會被取消。

但對于Zerodium來說，不管其真實的支付價格是多少還是到底有沒有“核彈”級別的零日漏洞，至少在表面上，要保持其公眾形象。即顯示自己的強大的購買力和豐富的銷售資源。

另一種風險是漏洞驗證。Hacking Team在六年的時間里只成功購買了五次，原因在于漏洞并非“一手交錢一手交貨”那么簡單，高價購買的漏洞并非回回奏效。因此需要在決定購買之前對漏洞進行測試，但并非每個賣家都愿意這樣做。另外，對于買家來說，無法知道是否存在“一洞多賣”的問題。

零日交易的未來

零日交易市場的不透明性，專家們認為應該對其進行嚴格的監管。比如，瓦森納協定將囊括在內。但內布拉斯加州大學的刑法和網絡安全專家梅林·菲德勒卻認為這不太可能發生。

首先，Zerodium這類安全公司的存在意味著監管立法的難度，更何況像美國這種能夠從正規軍事承包商那里購買漏洞的政府，自身需求能夠滿足，就不愿意再耗費太多的精力去建立全球的監管規則。

再者，地緣政治的變化以及美國、歐洲、俄羅斯、中國、以色列、中東之間的緊張局勢也是一個因素。這些國家是零日領域的重要玩家，彼此之間如果沒有合作的意愿，國際監管就不會發生。

因此，零日交易的市場還會這樣繼續下去。最近一段時期內，最炙手可熱的仍然在移動設備領域。Zeronium網站上出價最高的項目是安卓系統的零點擊（無需受害者的任何操作）零日漏洞，任何發現這種漏洞的人將獲得高達250萬美元的獎金。