购买所谓“零日漏洞”的人为安卓漏洞支付的费用比iOS多，直到最近这还是不可想象的。

Zerodium，零日漏洞买家，现在为安卓漏洞支付高达250万美元，比苹果手机多50万美元。

多年来，苹果手机一直被认为是世界上最封闭的主流计算设备。它的受欢迎程度和安全等级使得在黑市上破解苹果手机的任何技术都比在安卓系统上的类似攻击更加罕见和昂贵。但是现在市场已经改变了。一款能够远程控制安卓智能手机的秘密黑客工具的价格首次超过了苹果手机的类似工具。

周二，专门收购和销售零日漏洞(利用软件中尚未发现的漏洞)的零日公司发布了更新后的价目表。现在，该公司愿意支付高达250万美元购买一种叫做零点击(zero click)的黑客技术，这种技术可以在目标用户之间没有任何互动的情况下悄悄控制安卓手机。这不仅是零日漏洞的最高价格，也比苹果公司零点击攻击的价格高出50万美元。事实上，泽罗迪通过网络浏览器将对苹果手机的所谓“一键式”攻击的价格从150万美元降至100万美元。一些即时通讯攻击的价格已经减半，从100万美元降至50万美元。

Zerodium的创始人Chaouki Bekrar说:“在过去的几个月里，我们观察到来自世界各地开发和销售iOS漏洞(主要针对Safari和iMessage)的研究人员数量有所增加。零日市场有太多的iOS漏洞，所以我们最近开始拒绝一些漏洞。多亏了谷歌和三星的安全团队，安卓的安全性随着操作系统的每次版本更新而提高。开发一整套安卓破解工具变得非常困难和耗时，甚至很难在没有任何用户交互的情况下进行零点击攻击。

Bekrar补充道，Zerodium设定的最高奖金集中在谷歌、三星、华为和索尼设备上。他写道:其他设备的漏洞也很有吸引力，但它们的价格将取决于具体情况。“零介质”的新标价与前几年的数字形成鲜明对比。2015年，该公司以适中的价格发布了最初的零日价格表，其中iOS攻击的价格高达50万美元，安卓黑客技术的价格高达10万美元。

尽管Zerodium是唯一一家发布零售日价格清单的公司，但它标记的价格清单不一定代表执法机构和间谍机构等其他零售日买家可能会为新黑客工具支付多少费用。一些证券行业的人认为，Zerodium的列表在很大程度上是公司的营销工具，旨在影响价格，而不是记录价格。

但是独立的安全漏洞研究员、现已倒闭的漏洞收购公司Q-Recon的创始人Maor Shwartz说，这些变化与他自己的观察是一致的。

现在大多数人都把目标锁定在安卓系统上，漏洞的数量越来越少，因为很多漏洞已经被修复。从一年前开始，客户会问我，你知道谁为安卓工作，存在什么漏洞吗？我开始预感到市场正在变化。

Schwartz说，对高端安卓手机的网络攻击现在可以以超过200万美元的非独家价格出售，这意味着研究人员可以以这个价格向多个买家出售漏洞。他表示，基于网络的苹果手机攻击的非独家价格约为150万美元。他说这个比例也更常见:安卓攻击通常花费苹果手机价格的30%左右。

Schwartz认为，因为Chrome比Safari更安全，所以通过安卓手机浏览器入侵目标设备比入侵iOS要困难得多。但他表示，安卓漏洞变得越来越昂贵的真正原因是很难找到针对安卓的所谓“本地特权增强”漏洞。这种漏洞可以使攻击者在获得稳固的立足点后对移动电话有更深入的控制。在很大程度上，由于安卓手机增强了安全措施，现在在安卓系统和iOS系统上很难找到LPE漏洞。此外，很难找到容易被黑客攻击发起攻击的浏览器漏洞，这使得安卓总体上成为一个更加困难和有价值的目标。

施瓦茨认为安卓的安全性将会提高，部分原因是它的开源策略最终获得了回报。当苹果关闭其操作系统时，即使用心良苦的安全研究人员也发现很难找到它的漏洞(随着它的扩张和尝试推出奖励计划，这也是苹果需要解决的问题)，安卓开源策略意味着更多的人会看到它的代码。虽然这种策略一开始带来了更多的错误，但是这些漏洞已经被修复，操作系统也随着时间的推移变得越来越健壮。施瓦茨说:随着大量漏洞被修复，攻击面大大减小。“

安卓一直存在安全补丁问题，因为它长期依赖第三方制造商和运营商。这些都没有反映在zero media的价格表中，因为该公司担心修补设备中的零日漏洞。

如果你想赚钱，专注于安卓。

但值得称赞的是，谷歌一直在缓慢降低安卓手机(包括今天发布的安卓10)的黑客友好程度:它增加了新的基于文件的加密，并对“沙箱”进行了改造，这样人们就不能从操作系统的其他部分访问应用程序。

事实上，谷歌多年来一直在添加解决方案，当出现新的安全漏洞时，设备很难被黑客攻击。例如，在2018年，谷歌引入了控制流完整性，以防止恶意程序跳转到内存中，绕过旧的安全措施(随机分配内存中的代码位置)和整数溢出清理，以防止这种类型的错误被名为阶段恐惧的攻击利用，如在2015年。

但是施瓦茨指出，除了这些解决方案之外，iOS零日漏洞最初的高价也引起了安全研究人员的极大关注，导致对iOS的攻击相对过多。上周，谷歌披露黑客活动利用了五个完全不同的iOS漏洞，并通过该网站感染了数以千计的受害者手机，这些攻击的绝对数量也非常惊人。在谷歌上月披露的另一项发现中，该公司的安全研究员娜塔莉·席尔瓦诺维奇(Natalie Silvanovich)发现了至少六起对iOS的零点击攻击。

Schwartz说，除了安卓系统增强的安全措施，对iOS和安卓系统关注的不平衡也推高了安卓系统零日漏洞的价格。对于高风险的安卓用户来说，这些高价格不会让他们感到舒服。高额回报实际上可能意味着对操作系统进行一轮更深入的漏洞研究。

现在对安卓漏洞有了真正的需求，由于缺口，价格一直在飙升。我告诉每一个和我交谈过的研究员，如果你想赚钱，专注于安卓系统。