中國黑客專找蘋果軟體漏洞盈利超25萬美元

美國《福布斯》雜志網絡版今天撰文稱，中國安全研究員吳石發現的浏覽器漏洞中，有半數都來自蘋果Safari浏覽器。他認為，蘋果借助較小的市場佔有率而免受安全問題的困擾的日子将一去不複返。

    以下為文章概要：

    無名英雄吳石

    如果說“嚴厲的愛”是解決軟體故障的最佳方法，那麼吳石（Wu Shi，音譯）或許就是資訊安全領域衆多的無名英雄之一。

    自2007年以來，這位家住上海的35歲研究員已經發現并報告了IE、Safari和Chrome等浏覽器中存在的100多個嚴重漏洞。當使用者浏覽被感染的網頁時，黑客可以借助這些漏洞劫持使用者的電腦。僅去年一年，他就将其中50多個漏洞出售給了Zero Day Initiative（以下簡稱“ZDI”）和iDefense等漏洞懸賞項目。這兩個項目分别歸屬于惠普和VeriSign，他們專門花錢從研究人員那裡購買漏洞資訊，并在安全産品中使用這些資料，随後再将其交給受影響的軟體廠商。

    這表明吳石一年彙報給ZDI和iDefense的漏洞比全世界任何一個研究人員都多，其中超過半數都來自蘋果Safari浏覽器。

    例如，在上月的一次安全更新中，蘋果針對iPhone作業系統釋出了64個新更新檔，其中隻有6個是蘋果内部研究人員自己發現的，12個由谷歌研究人員發現，還有15個是由吳石發現的。

    安全專家查理?米勒（Charlie Miller）說：“或許蘋果應當聘請吳石來幫助他們，因為他發現的漏洞是蘋果整個安全團隊的兩倍還多。”

    獨特fuzzing算法

    吳石通過即時通訊和電子郵件解釋了他是如何使用一種名為“fuzzing”的方法來收集這些漏洞的。使用這種方法時，需要向軟體中輸入大批經過修改的檔案，以便檢視哪些檔案會導緻軟體崩潰。之後再對這些崩潰事件進行分析，以便了解哪些情況會允許黑客注入代碼并控制浏覽器。

    吳石使用他自己的獨特算法來生成這些測試檔案，然後将他們抛入Apache Tomcat伺服器。通過這種方法，他就可以獲得更快的頻率，進而比普通研究人員測試更多的樣本。與以往隻更改檔案中的單一變量不同，吳石表示，他的方法會更改整個樣本，而且能夠在進行盡可能多的更改的同時，仍然讓浏覽器将檔案識别為HTML文檔。“我的fuzzing架構關注的是軟體架構，而不是細節。”吳石說。

    ZDI研究經理亞倫?波托尼（Aaron Portnoy）對吳石發現的漏洞進行了研究，他表示，吳石不會對他所發現的漏洞進行深入分析。但他認為，這名中國研究員使用的方法可以捕捉到其他方法無法發現的漏洞。“這些檔案中的相關項目有着複雜的層次結構。他可以改變關系樹結構的工作方式，而不僅僅是其中的一個項目。”波托尼說，“很多人隻是 fuzz資料，而他則是fuzz關系。”

    曲折從業經曆

    吳石說，他是在職業發展經曆了一系列挫折後才在漏洞尋找領域實作突破的。當中國股市2006年開始一輪波瀾壯闊的大牛市時，當時在一家小型IT公司任職的吳石感覺他的職業像是一艘逐漸沉沒的船。他說：“我感覺正在逐漸陷入絕望。以我的工資，甚至無法糊口。”

    他後來離開了那家IT公司，并且建立了一家基于P2P檔案分享技術的企業。但是當一家大客戶拒絕履行承諾為一個主要項目支付報酬時，他的合作夥伴找了另外一份工作，公司也破産了。

    吳石開始組建一家安全咨詢公司，并實驗他早年在複旦大學讀書時想到的一個fuzzing方法。他發現了微軟的一些安全漏洞，并且直接将其報告給微軟。後來，他從朋友那裡得知了ZDI這樣的“漏洞購買”項目。“從那以後，我就變成了一名全職漏洞獵手。”他說。

    這一決定已經有所收獲。ZDI從吳石那裡購買了50個漏洞，每個都至少價值5000美元，而iDefense某些情況下支付的費用甚至超過1萬美元。吳石并沒有透露具體收益，但通過簡單計算便可獲知，他的收益超過25萬美元，這在中國可是很大一筆錢。ZDI還為吳石授予“白金”（platinum status）獎，該獎項的獲得者可以拿到2萬美元的獎金，并免費參加在美國拉斯×××舉行的“黑帽”（Black Hat）安全大會。

    蘋果安全性低下

    一個中國研究員手中握有數百個重要漏洞，會使某些人感到擔憂。但是吳石表示，他隻會将漏洞賣給那些“不作惡”的企業，而且會直接将漏洞報告給受影響的軟體公司。他表示，某些黑市買家給出十倍于ZDI的出價購買他發現的一些IE漏洞。且不說是否存在道德問題，吳石并不希望卷入任何犯罪行為。

    即便如此，如此多的漏洞被吳石發現仍然可能産生麻煩，對蘋果軟體而言尤其如此。吳石表示，他之是以關注蘋果的漏洞，是因為蘋果自己不關注這一問題。

    蘋果尚未對此置評。

    微軟十年來一直在與網絡攻擊做鬥争，也是以而變得堅固。例如“紅色代碼”蠕蟲病毒曾于2001年感染了數萬台電腦，還有很多網站是以被黑，并被挂上了 “Hacked By Chinese！”（被中國人黑了）的智語。而蘋果則因為多年以來一直被網絡犯罪分子忽略而變得有些自滿。

    但吳石認為，這種安逸的狀況不會延續下去。随着有針對性的攻擊越來越多，蘋果無法再因為市場佔有率較小而免受安全問題的困擾。他說：“iPhone和Mac OS比Windows 7更容易攻擊。我認為，未來将有很多針對蘋果軟體的攻擊。”